フィッシング詐欺とは

有名企業などを装った電子メールを送信し偽装されたURLをクリックさせることで
個人情報を取得しようとするオンライン詐欺のこと。

 

フィッシング詐欺の主な手口

主な手口としては、まずサーバーからの自動送信にみせかけ不安を煽るような内容のメールを送りつけます。
巧みに偽装した管理画面URLを記載しておりクリックさせることであらかじめ用意した本物の管理画面にそっくりな
偽管理画面にお客様を誘導します。そこでIDやパスワードなどを入力するよう促し入力された情報を盗み取ります。

 

送られてくるメールの事例と特徴

【メールの内容】
---------------------------------------------
件名：【EC-CUBE】〇〇〇〇サイト ファイル破損のお知らせ
メール本文：

〇〇〇〇サイト 管理人様

*************************************************************
このメールはサーバーより自動送信されています。
*************************************************************

サーバー内のファイルの破損が確認されました。
このままですとサイトにアクセスできなくなる可能性がありますので
確認の上、修復をよろしくおねがいします。

管理ページにアクセス
https://www.example.com/admin/
---------------------------------------------

【特徴】
一見、カゴラボの不具合を装ったメールですがリンク先の偽画面へ誘導し
管理画面のログインパスワードを盗み取って個人情報などを不正に取得する手口です。

お客様の管理画面のURLの文字が巧みに偽装されています。

これまでに確認されている例：
正規URL：https://www.example.com/admin/
偽装URL：https://www.exampie.com/admin/（「l」と「i」の違い）
偽装URL：https://www.examqle.com/admin/（「p」と「q」の違い）
偽装URL：https://www.exanple.com/admin/（「m」と「n」の違い）

 

実際に送られたメール

 

アクセスした場合の管理画面

正規の管理画面との見分けがつきません
※現在は管理画面に注意喚起の文言が出るようにしております。

 

フィッシング詐欺メールへの意識と対策

・不審なメールや心当たりのないメールは開封しない
フィッシング詐欺メールは言葉巧みに不安を煽るような内容などが記載されおります。
動揺せず内容を冷静に見極めていただき直ちに削除してください。

・不用意にメール本文のリンク（URL）をクリックしない
送り元がはっきりしないメール本文のリンク（URL）はクリックしないようにしましょう。

・ブックマークからアクセスする
管理画面などID / パスワードなどを入力するURLへのアクセスは
ブックマーク以外からはおこなわないなど社内ルールを徹底しましょう。

 

フィッシング詐欺メールにおける弊社対策

弊社ではフィッシング詐欺メールに対して以下の対策をおこなっております。

■管理画面へのBASIC認証の設置
弊社ではカゴラボの管理画面へBASIC認証を設定することでセキュリティ強化を図っております。
管理画面URLへアクセスしますとログイン画面を表示させる前にユーザー名 / パスワードが求められます。
このユーザー名 / パスワードを入力して初めてログイン画面が表示されます。

 

【BASIC認証画面】

■管理画面にて注意喚起表示
管理画面へ注意喚起の文言を表示するようにしております。

 

保守・運用（サポートセンター）

不審なメールを受け取った場合は以下ご確認いただきサポートセンターまで早急にご連絡ください。

＜お知らせいただきたい内容＞
・不審メールの内容（内容のキャプチャ）
・記載URLへのアクセス有無
・受信日時