ニュース

Amazonギフト券プレゼントキャンペーンを装ったフィッシング詐欺に注意

 Amazonギフト券プレゼントキャンペーンを装ったフィッシング詐欺メールが出回っており、Amazonではギフト券購入ページで注意を促している。

Amazon.co.jpのギフト券販売ページではフィッシングサイト・フィッシングメール詐欺に注意を促している(赤枠で囲んだ部分)

 フィッシングメールは、Amazonで購入したギフト券が倍額になって戻ってくるキャンペーンのお知らせとの内容で、メール中はURLが書かれている。このURLをクリックすると、Amazonを装ったフィッシングサイトが表示される。サイトには、「ギフト券の番号を指定アドレスに送ると、倍額が戻ってくる」と書かれており、その方法が指示されている。

 指示に従って購入したAmazonギフト券の番号を送ってしまうと、倍額のギフト券番号が戻ってこないのはもちろん、フィッシング詐欺犯に送ったギフト券を使われて終わりということになる。このためAmazon.co.jpサイトでは、ギフト券番号などを開示・送信・譲渡しないよう注意を喚起している。また、万一、フィッシングと思われるサイトやメールへギフト券を送ってしまった場合は、 Amazonカスタマーサービスへ連絡するよう呼びかけている。

 編集部アドレスにもこのメールが届いたので、概要をご紹介するとともに、こうしたフィッシングサイトで注意して見るべき点をチェックしておこう。

届いたメールは怪しさ満点だが、今後より巧妙になるおそれも

 届いたメールの件名は「Amazon.co.jp ギフト券プレゼントキャンペーン当選」となっており、応募していないのにタイトルに「当選」と入っている点からして怪しい。ただし、フィッシングメールの件名や送信元アドレス、フィッシングサイトのドメインなどは数時間で変わることが多い。この通りの文言でなくとも、応募した覚えのない当選メールなどには注意が必要だ。

編集部に届いたフィッシングメール全文。応募していないのに「当選」とある件名も怪しいが、送信元アドレスも返信先アドレスもamazonのドメインではなく、本文中には短縮URLが入っているなど怪しさ満載だ。ただし、今後偽装アドレスや見間違いやすいよく似たドメインのアドレスを使うなど手口が巧妙になる可能性があるため、アドレスが一見正当なものに見えても、内容に不自然な点がないか注意を払う必要がある

 怪しいメールは迷惑メールに分類し、「開かずに捨てる」ことが望ましい。メールを開いただけでバックドアを開けるマルウェアに感染する可能性もあるためだ。

 編集部に届いたメールでは、本文中のリンクは短縮URLとなっていた。ただし、繰り返しになるが、フィッシングサイトは数時間程度で消滅することも多いため、URLで危ないかどうかを判定するのは難しい。実際、編集部に届いたメールも3時間後にはサイトが消滅していた。

 怪しいメール、応募した覚えもない当選メールなどは開かずに捨てるのが最善だが、メールを開いてしまった場合も、URLはクリックしないことが重要だ。

ギフト券番号を送らせるキャンペーンなどは存在しない

 届いたメールのURLをクリックすると、一見するとAmazon.co.jpサイトに見えるページが表示される。まずわかるのは、URLがAmazon.co.jpのものではないことだ。また、Amazon.co.jpサイトでページ上部に表示される共通バナー部分は見た目はそっくりだがまるごと1枚の画像となっており、この画像にamazon.co.jpトップへのリンクが貼られている。

メール本文中のURLをクリックするとフィッシングサイトにつながる。URLがAmazonのものではなく、Webブラウザーのタブに表示されるページタイトルも怪しい。ページ上部のAmazonサイト共通バナー部分は本物と違って1枚の画像が貼られている

 このフィッシングサイトのページにはプレゼント応募方法が説明されているが、その応募方法というのは以下の通りだ。

1)Amazon.co.jpでEメールタイプのギフト券を購入する(応募は3万円~50万円まで)。
2)メールでギフト券のコードが届いたら、コードをユーザーのアカウントに登録せずに(未使用の状態で)、当該メールをそのまま指定メールアドレスに転送する

 ギフト券コードを送ると、金額が倍になったコードが返送されてくるとの説明になっているが、もちろんそんなものは届くわけがない。メールをそのまま転送することで、Amazon.co.jpの登録メールアドレスまでがフィッシング詐欺グループに把握されてしまうことになる。

 また、赤字で繰り返し、ギフト券を登録してしまったら倍額キャンペーンに応募できないとの説明がある。登録してしまえばフィッシング詐欺犯は利用できないためだ。

フィッシングサイトのページ全体。応募方法が説明されているが、購入したギフト券番号を自分のアカウントに登録しないよう重ねて注意書きがある。詐取目的でなければこうした注意書きはあり得ないもの。また、フィッシングサイトは短期間でサーバーを変えることが多い。このページはメールが届いて3時間後にはもうアクセスできなくなった

 Amazon.co.jpのギフト券が当たるキャンペーンやアンケートは多く見かけるが、未使用のギフト券番号を送信させるようなキャンペーンは存在しない。Amazon.co.jpにも注意がある通り、「ギフト券番号はプレゼントしたい相手以外には送らない」ということを守るだけで、類似のフィッシング詐欺が出てきた場合も被害を防ぐことができる。

 サイバー犯罪についての知識があまりないユーザーも含め、ネット通販は誰もが利用するサービスとなっている。こうした手口があることを知れば、少なくともAmazonギフト券を詐取するフィッシングサイトの被害に遭う確率はほとんどなくなるだろう。家族や友人との間で「こういうフィッシング詐欺が流行っている」と話題にすることが予防につながるため、フィッシング詐欺の手口については普段から身近な人と共有しておくことをお勧めしたい。

(工藤 ひろえ)