見出し画像

Amazonの「【重要なお知らせ】お客様のお支払い方法が承認されません」メールに引っかかってみた結果

nolan合同会社

「Amazon公式を装ったメールをクリックすると何が起こるのか?」フィッシング詐欺の典型例を安全な実験環境で検証しました。本物そっくりな手口と、迷惑メールに引っかからないための対策を詳しく解説します。

迷惑メールのリンクをうっかりクリックしたら、どんな危険が待ち受けているのでしょうか?本記事では、迷惑メールのリンクをクリックしてアクセスした実験結果をもとに、フィッシング詐欺の手口とその対策を徹底解説します。安全なネット利用のために、ぜひご一読ください。


1.実験内容の説明

今回検証したのは、Amazonの支払い方法の更新を要求するメールです。

件名は「【重要なお知らせ】お客様のお支払い方法が承認されません」となっており、注文したが決済できなかったのでアカウント情報の確認を促す内容でした。

検証は安全な環境であるWindows Sandboxを使用して行い、実際のフィッシングサイトの動作を確認しました。
届いたメールはこのようなメールです。

Amazonからの偽のメール

2. アクセスしてみた結果

メール本文中の
「■ご利用確認はこちら」
ボタンをクリックすると、一見するとAmazonのログイン画面らしいページが表示されました。

偽のログイン画面

ちなみに、本物のAmazonのログイン画面はこちらです。

本物のAmazonのログイン画面

デザインがとても似ていますが、ブラウザのURLをよく見ると、Amazonとは異なるURLになっています。
本物のURLは「https://www.amazon.co.jp/」です。

適当なメールアドレスを入力して「次に進む」ボタンを押すと、パスワード入力画面が表示されました。

偽物のパスワード入力画面

本物のパスワード入力画面はこちらです。

本物のパスワード入力画面

横に並べてみると、若干デザインが違うのが分かりますが、一見すると気がつかないくらい本物そっくりです。
よく見ると、偽物には「ログインしたままにする」のチェックボックスがあったり、年号が「2024」のままです。

適当なパスワードを入力して「ログイン」ボタンをクリックすると、クレジットカード情報の入力を求める画面が表示されました。

クレジットカード情報入力画面

架空のクレジットカード情報を入力して「すぐに更新する」をクリックすると、なにか処理している感じの画面になりましたが、処理完了しない状態が続きました。

処理中のまま終わらず・・・

これは典型的なフィッシング詐欺の手口で、入力された情報は全て攻撃者に送信されている可能性が極めて高いといえます。

3. 分析・考察

  • 差出人のメールアドレス

    • 「order-update@amazon.co.jp」と表示されていますが、実際のAmazon公式アドレスではない可能性が高いです。

    • メールヘッダーを確認すると、本物でない送信元の情報が見える場合があります。

  • 緊急性を煽る内容

    • 「24時間以内に確認がない場合、アカウントの利用制限をさせていただきます」として、受信者に急いで行動を取らせる手法を用いています。

  • 不自然な日本語

    • 文面には微妙な不自然さがあります(例:「さまざまな理由でカードの情報を更新できませんでした。」など)。

    • 本物のAmazonの通知は、より丁寧で自然な表現を使用します。

  • リンクの偽装

    • 「ご利用確認はこちら」というリンクに本物のAmazonと異なるドメインが設定されている可能性があります。リンク先を確認せずクリックしないでください。

  • ロゴやデザインの模倣

    • メール全体のデザインは本物のAmazonの通知に似せていますが、細部のフォントやレイアウトに違和感があることが多いです。

対策と行動

  1. リンクをクリックしない

    • メール内のリンクは偽のログインページや詐欺サイトに誘導される可能性が高いです。

  2. 公式サイトを直接確認

    • メールに記載された内容を確認したい場合は、Amazonの公式サイト(https://www.amazon.co.jp)に直接アクセスしてください。

  3. アカウント情報を入力しない

    • フィッシング詐欺では、個人情報やパスワードを入力させることが目的です。絶対に入力しないようにしましょう。

  4. 迷惑メールとして通報

    • メールサービスの「迷惑メール報告」機能を使って報告してください。また、Amazon公式にも報告することをお勧めします。

  5. セキュリティ設定の強化

    • 2段階認証を設定することで、アカウントが乗っ取られるリスクを減らすことができます。

4. 実験を通じてわかったこと

今回の検証から、フィッシング詐欺の危険性として以下の点が明らかになりました:

  • クレジットカード情報の両方を狙う詐欺である

  • サイトのデザインが精巧で、一般ユーザーには見分けがつきにくい

  • 緊急性を煽ることで、ユーザーの冷静な判断を妨げている

5. 結論(まとめ)

迷惑メール対策として最も重要なのは、メールに記載されたリンクを安易にクリックしないことです。特に、個人情報やクレジットカード情報の入力を求められた場合は、必ず公式サイトに直接アクセスして確認するようにしましょう。

セキュリティ強化のためには、不審なメールを見分けるスキルを身につけることが重要です。日頃から情報漏洩対策について意識を高め、定期的にパスワードの変更を行うことをお勧めします。

【注意書き・免責事項】

  • この記事で紹介する検証は、安全な実験環境(仮想マシンやサンドボックスなど)で行っています。

  • 迷惑メールのリンクや添付ファイルを一般の環境で開くことは極めて危険です。絶対に真似しないでください。

  • 実際の不正URLやメールアドレスを紹介する場合は、安全確保のために伏せ字やスクリーンショットなどを利用し、アクセスできない形で掲載しています。

  • この記事は情報提供を目的としており、特定の行動を推奨するものではありません。万が一トラブルが発生しても、当方は一切の責任を負いかねます。ご了承ください。

より詳しい迷惑メールの見分け方や具体的な対処方法については、別記事「フィッシング詐欺メール見破り方完全ガイド|最新手口と対策【2024年版】」でご紹介していますので、ぜひご覧ください。

迷惑メールやフィッシング詐欺に対する不安をお持ちの方は、ぜひnolan合同会社のはじめてのセキュリティ安心セットをご利用ください。

  • セキュリティ診断サービス: 現状のリスクを可視化し、改善点を提案します。

  • EDR導入・運用: 高度なマルウェア対策でエンドポイントを守ります。

  • パスワード管理ツールの導入・運用:煩雑なパスワード管理をカンタンにしてパスワード強化を行います。

  • 従業員向けセキュリティ教育: 社員全員が安全な行動を取れるよう支援します。

詳しくは、以下からご覧いただけます。今なら無料相談を実施中ですので、ぜひお気軽にお問い合わせください!


いいなと思ったら応援しよう!

nolan合同会社
チップは励みになります!次の記事制作に使わせていただきます。ご支援いただけると泣いて喜びます✨ありがとうございます!