セキュリティ

えきねっとはユーザー情報が漏洩していない?

えきねっとを騙るフィッシングメールが届きました。フィッシングメール自体は、複数のメールアドレスを持っているのでよく見かけます。ですので珍しいことはないのですが、いぶかしいのは、フィッシングメールを受けたことのないメールアドレスで、しかも「えきねっと」の登録で利用しているメールアドレスに、ピンポイントで複数届いていることです。

メール文をキャプチャしましたので掲載しておきます。

フィッシングメールの特徴は、リンクを踏ませるURLが設定されていることです。

今回は「ログインはこちら」のリンクです。

皆さんもメールのリンクは、必ずURLを確認してください。「こんなところをアクセスするはずがない」ようなURLです。

さて問題その1.

JR東日本は何もアナウンスしていないようですが、不正アクセスされた結果、大量に登録ユーザーの情報が漏洩していないですか?もしかしてシカトしてる?

不満に思っていることその2.

見栄えを考えてHTMLメールが使われますが、騙されやすくなります。HTMLメールは極力避け、プレーンテキストで送るのが1番ユーザーのことを考えたものと思います。確かにHTMLメールは見栄えが良いですが、今のような使われ方は危険かと思います。皆様ご注意ください。

ついでにその3.

2段階認証とか2要素認証とか呼ばれる認証方法で、SMS(ショートメールサービス)を利用することがありますが、これがフィッシングの場合、ほとんど反射的にリンクを踏んでしまいます。この認証方法は「2要素認証」と呼ばれますが、SMSの利用は釣られやすいので止めていただく方が良いかと思います。

以上、世渡りするのも、インターネット使うのも危険が一杯です。

追補

えきねっとを疑いましたが、もしかするとアマゾンから流出したのかも知れません。えきねっとさん、ごめんなさい。

メールアドレス変えようかな?