こんにちは。林です。
冬ですね。寒いですね。はい。先日、めっちゃ驚いたことがありまして。全く身に覚えのないアカウントが作成されちゃったようなんです(笑)
もうこれね、ホラー以外の何物でもないです…。すいません、ホラーは夏限定ですよね。でも起こっちゃったものは仕方ありません。
参考になることもあると思うので、情報をシェアしておきます!それと今回、いい意味で危機対応の練習ができたので、その観点でもお話してみます。
目次
いつものようにご機嫌でPCに向かって仕事をしてたら、ふとある「不審」なメールを見つけまして。なんとそこには
「お客様のアカウントが作成されました」
とデカデカと書かれているではないですか!
え!?ど、ど、ど、どういうこと!?(マジでお茶吹きかけるww)
全っっっ然、身に覚えがないんですけど!?笑
っていうかこの時間、朝ごはん食べてましたけど!笑笑
その後、◯◯を設定しました!っていう呑気なメールも届いて、いやいやいやいやいや。作成もしてないし、設定なんてもっとしてないし!怖すぎる、怖すぎる!笑笑
で、ですね。ちょっと冷静になって考えまして。
もちろん最初は、詐欺かスパムを疑ったんです。でも詐欺やスパムにしては、サイトへの誘導が曖昧すぎるし、リンクを確認しても、ちゃんと公式サイトのドメインになってます。
…ということは!考えられる可能性がいくつかあって、僕が考えたのは
この2つです。
1はどうしようもないのでまぁいいとして(良くはないか…)、問題は2。
個人情報が流出したのなら、どの範囲に、どれだけ流出しているのかを知っておかないと流石に怖い。場合によっては、こちらの対策が必要です。
ということで、早速電話して状況を聞いてみました(もちろん公式サイトから電話番号を調べました)。
該当業者のコールセンターに問い合わせた所、以下が判明しました。
スパム行為や嫌がらせ行為、間違いなどを防ぐために、一般にメールは2段階認証します。
2段階認証では、
のステップが一般的ですね。
なぜこんな面倒なことをするかというと、今回のような「間違い」や「迷惑行為」を防いでくれるから。他人のメアドで登録しようとしてもそのメールは読めませんよね?なので、メールを読めない他人が2段階認証を突破することはできません。つまり、なりすましのアカウントを作成できないわけです。
カンタンな仕組みで予防効果が大きいことからほとんどの業者やサイトで導入されてます。
が、まさかの「最大手級」の業者さんが導入してなかったとは…マジか…w
早急に改善して頂けることを切に願ってます。
っていうか未だにアカウント削除できなくてメールが届き続けるのなんとかして欲しいです(泣)新手のスパムですやん(笑)
で、今回はいい経験をさせてもらったので、ここから少しでも有益な情報に、強引に引っ張り上げてみたいと思います。笑
上記の通り、今回は事なきを得ましたが、いつなんどき、これ以上の危機に「不意に」遭遇するかは分かりません。ですので、普段からセキュリティ危機の対応意識を高めておきくのは大事なことかと。
セキュリティ危機対応のステップはこんな感じになります。
ひとつずつ見ていきますね。
メールの真偽は、主にメール内にあるリンクのドメインを調べれば分かります。今回のメール内のリンクは公式サイトのドメインでしたので、少なくとも無視はできないと判断できました。
なお、メールのリンクを調べるには
「本文で表示されているリンクの文字列を信用してはいけません」
これ、めちゃくちゃ大事です。
どうやって調べるかというと、メールアプリによってまちまちなんですが、だいたいマウスをリンクに乗せる(クリックしない)だけで、リンクのURL、または関連情報がポップアップで表示されるはずです。スマホアプリなら長押しして、メニューを開けばリンクのURLが表示されることが多いと思われます。この時点では決してリンク先を開かないようにしてください!
そこに公式サイトのドメインが含まれていなければ、基本、詐欺(フィッシング)メールだと思って間違いありません。
例えばこちらのようなメール。
警告がなければ、一見メルカリ公式からのメールのように感じますが、青枠の部分に注目してください。メルカリと書いてあるものの、送信者アドレスのドメインは「gingou.net」というメルカリとは全く関係ないドメインですので、まず送信者が疑わしい。
ただし送信者アドレスは詐称できるので、ここが正常に見えても安心はできないです。よくあるのは送信アドレスも受信者のアドレス(あなたのアドレス)になっているものです。自分で自分に送っている形ですね。こうなると、迷惑メールフィルタもすり抜けてくる可能性が高まるので注意が必要です。
幸い、逆に見抜きやすくなるのでこういうのは瞬殺でゴミ箱行き。だって、自分自身にメール送ることなんてないですやん。ただ、ブログからの問い合わせなどはその形式になっている場合もあるので、個別に状況を確認してくださいね。
さてこのメールで一番危険なのは、クリックを促している下の青枠部分。メール内の文字列にはちゃんとメルカリのドメインが含まれてますので一見、正しいリンクのように見えますよね。
ですが実はこれも引っ掛け。
マウスを乗せると、文字列に隠された実際に設定された、裏の情報が読み取れます。
はい。本文とは関係ない、意味不明の文字列が出てきてますね。
ですので、メール内のメルカリドメインは表示だけで、実際にはフィッシングサイトに繋がる可能性が極めて高いと推測できます(怖くてやってませんがw)。
この作業を守れば、メールの真偽はほぼ確定でき、恐らく99%以上は単なる詐欺メールだと判断できてそのままゴミ箱いき、なはずです。
ただ…今回の僕のように、これを通過してしまうことも稀にあると思います。その場合は次に進みます。
ここから先は、要は状況確認の作業なんですが、公式サイトから送られている可能性が高いなら、公式サイトに直接問い合わせるべきです。
ただし決して、メール内に表示されたサイトを訪問したりメール内の電話番号に掛けないようにしましょう。
自分で別途公式サイトを検索して、公式サイトの連絡フォームや電話番号に問い合わせます。今回僕は、公式サイトから電話番号を調べ、そこからオペレーターにつないで状況確認しました。
不測の事態ですから、基本、頭が混乱しがちです。場合によっては頭に血が登っていることもあるかもしれません。だからこそ、意識的に冷静に対処するのが大事です。
今回僕も、問い合わせ中にちょっとムッとすることもありましたが、そもそもセキュリティ対策が緩いというだけで相手に直接非があるわけではないです。第三者が間違ったのがそもそもいけないわけですので…
ですので、公式サイトの担当者を「敵」とみなすのではなく、冷静に、協力関係だと思って対処していくのが大事ですね。
もちろん言うべきことや聞くべきことは遠慮してはいけませんが、こちらが混乱してたり、勘違いしている可能性もゼロではないので、一つ一つ、確実に状況把握していきましょう。
いや、それにしてもメールの所有者には、アカウントの削除ぐらい、させて欲しいなぁ…。メール内に削除についてお問い合わせって書いてあるのにぃ(泣)
ということで、セキュリティ危機(メール編)の事例と対応として
についてお話しました!
こんなことは滅多に無いかと思いますが、危機対応能力を高めるための予備訓練(?)みたいなものができたと思って、前向きに捉えています。これをお読みのあなたも、危機意識を高めておいてもらえると嬉しいです!
それではまた。
FIREブームの原典「お金か人生か」が暴く「現代の病」とは
外貨建て保険に逆風?金融庁が新たな共通KPIを導入。その中身とは!?
【セキュリティ対策】恐怖!アカウントが勝手に作成された!?対処法と心構えについてシェアします
LIFE SHIFT2 から学ぶ、先の見えない時代のFPの役割とは
知識を積み上げる!年末年始に読み込みたい、お勧め厳選3冊!
「配当節税二重取り」の穴が防がれる?令和4年税制改正大綱で判明。さらなる対策とは?
FPも顧客をお金もちにする?「行動経済学入門」カンタンレビュー
70年代に逆戻り?日本はもう先進国とは言いにくい。個人はどう対策すべき?
【勉強家必見】点から面への読書に進化する方法!「鈍器本」独学大全の魅力と、技法のご紹介
【初心者向け】FPにとってのネットメディアの役割を図解で説明
コメントフォーム