Amazonをかたるフィッシング詐欺が急増、アドレス大量漏洩の可能性

○フィッシング詐欺対策

大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会　Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」の「送信ドメイン認証に対応するメリット」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。

フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。

メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討を求めている。また、オンラインサービスを提供している事業者には、DMARCレポートを確認しながらポリシーをquarantineまたはrejectに変更することを求めている。

フィッシング対策協議会はフィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている（参考「フィッシング対策協議会　Council of Anti-Phishing Japan | 報告」）。
（後藤大地）