Microsoftアカウントから「不審なサインインが
近年、えきねっとを利用する際に、「えきねっと」の名前を利用したフィッシング詐欺が増加しています。
フィッシング詐欺は、公式の連絡やサイトに見えるものの、実際は利用者の個人情報や金銭を狙った悪質な手口です。
そこで、このブログでは、えきねっとの名前を利用したフィッシング詐欺とは何か、これらの詐欺の見分け方、フィッシング被害に遭わないためえきねっとアカウントの保護方法をご紹介します。
えきねっとのフィッシング詐欺とは?
えきねっとは、JR東日本が提供する公式のオンラインサービスです。このサービスを利用すると、新幹線や在来線のチケット予約、購入、指定席の確認、キャンセルなどがオンラインで簡単に行うことができますが、近年「えきねっと」を狙ったフィッシング詐欺を中心に被害が増えています。
えきねっとの公式サイトからも、フィッシング詐欺に対する注意喚起が発表されています。
これらの詐欺は、利用者が知らず知らずのうちに、ねきねっとアカウントに紐づいている個人情報やクレジットカード情報を詐取されてしまう危険性があります。
被害が増えている背景
えきねっとの公式のサイトにも掲載されている通り、「えきねっと」は、2年間ご利用(ログイン)が1度もない場合、個人情報保護の観点から自動的に退会手続きを取っています。
そのため、この「自動退会手続き」の仕組みを悪用した、お客さまの不安を煽るようなフィッシングメールを中心に出回っていることが確認されているそうです。
しかしながら、「えきねっと」の公式サイトによると、2022年3月以降、自動退会をお知らせするメールには、一切メール内にリンクを含まず、直接アクセスするように促しています。
そのため以下のような、メールは偽の詐欺メールであるため被害に遭わないようにしなければなりません。
そのため、「えきねっと」を利用しているユーザーは、えきねっとに関するフィッシング詐欺に用心する必要があります。
えきねっとの名前を使ったフィッシングの見分け方
えきねっとの名前を使ったフィッシング詐欺は、巧妙に作られているため、見分けるのが難しいことがあります。
そこで、ここではフィッシング詐欺を見破るための具体的な方法を紹介します。
送信元を確認する
まず、メールやSMSの送信元を注意深く確認することが重要です。
公式サイトでも紹介紹介されている通り、公式のメールドメインは「@eki-net.com」で終わるメール以外は送信していないことを公言しているため、送信元をしっかり確認しましょう。
また、近年のフィッシングメールの傾向として、メール送信者の表示名やメール内のログインを誘導するURLの一部に「eki-net.com」が使われていたり、アドレスが「info@eki-net.com」と偽装されたものも出現しているため、アドレス以外にも確認しましょう。
たとえば、1文字だけ違う、「ek1-net.com」のようにiを1にしたり、あるいは全く異なるドメイン名が使われていることがあるため、よく確認する必要があります。
不安を煽る文言が含まれている
次に、フィッシング詐欺は受信者の不安を煽ることで、急いで行動させることを狙っています。
公式のえきねっとの連絡では、通常このような強い表現を使うことはなく、落ち着いた言い回しが用いられます。えきねっとからも発表されている通り、以下のような言い回し表現を見かけたら偽物の詐欺メールの可能性が高いです。
- 【えきねっと】のアカウントが遠隔地にログインしていることを発見
- 【えきねっと】本人情報緊急確認
- 【えきねっと】ご利用環境確認用ワンタイムURLのお知らせ
- 【重要】えきねっとアカウントの制限を解除する
- 【重要】えきねっとアカウントの緊急更新
- 【重要】えきねっとアカウント制限のお知らせ
- 会員資格停止のお知らせ【えきねっと】
- 【重要】えきねっとのロックを解除、情報を更新してください。メール番号:********
- 【重要なお知らせ】「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について
- 二重認証を至急お願いします。
これらの不安を煽る内容が含まれている場合は、偽物であることを公式でも紹介されています。
添付URLが公式のものか確認する
フィッシングメールには、偽のログインページや偽サイトへのリンクが含まれていることが多いです。リンクをクリックする前に、URLを慎重に確認しましょう。
基本的には、Eメールに添付られているURLリンクはクリックせずに、直接、公式のウェブサイトのURLを入力することが推奨されます。
また、フィッシングメールなどにも含まれる公式サイトも「https://www.eki-net.com」から始まることの注意喚起が公式でもされています。
また、GoogleのGoogle Transparency Report という独自バージョンの URL チェッカーがあり、こちらでURLの正当性を確認することも可能です。
誤字や脱字がないか確認する
フィッシングメールには、誤字や脱字、文法の間違いが含まれていることがあります。公式な連絡では通常、こうした誤りはほとんど見られません。メールやメッセージの内容を注意深く読んで、誤字や不自然な言い回しがないか確認しましょう。
個人情報の提供要求をしてくる
フィッシング詐欺は、受信者に個人情報やクレジットカード情報を提供させようとします。えきねっとの公式な連絡では、通常、メールやSMSで直接個人情報を求めることはありません。例えば、「今すぐログイン情報を更新してください」「クレジットカード情報を再入力してください」などの要求が含まれている場合、フィッシング詐欺の可能性が高いです。
このような要求があった場合、絶対に情報を入力せず、公式サイトに直接アクセスして確認することが重要です。
えきねっとの名前を使ったフィッシング被害に遭わないための対策
フィッシング詐欺のリスクを軽減し、安全にえきねっとを利用するためには、いくつかの対策を講じることが重要です。ここでは、フィッシング被害を防ぐための具体的な方法を紹介します。
アカウントに強力なパスワードを使用する
まず、えきねっとのアカウントに強力で推測されにくいパスワードを設定することが基本的な対策です。大文字、小文字、数字、記号を組み合わせた最低16文字以上のパスワードを設定することを推奨します。これにより、パスワードの推測やクラッキングが困難になります。
それだけではなく、他のアカウントに使用している同じパスワードを使い回さないことも、クレデンシャルスタッフィングなどのパスワード攻撃を防ぐために大切な保護対策の1つです。
その保護方法を適切に簡易化させるには、パスワードマネージャーに投資することで、強力でユニークなパスワードを自動生成し、各アカウントに対して異なるパスワードを設定することができます。
えきねっとアカウントに2FAを設定する
2FAを設定することで、アカウントのセキュリティを大幅に向上させることができます。えきねっとは2023年の11月以降、2FAの設定が可能になりました。
2FAを設定することで、ログイン時にパスワードに加えて、登録したメールアドレスに送信される時間制限付きのワンタイムパスワードによる確認が必要になります。
これにより、仮にパスワードが漏洩した場合でも、第三者が簡単にアカウントにアクセスすることを防ぐことができます。
クリックする前にリンクをチェックする
フィッシングメールやメッセージに含まれるリンクをクリックする前に、リンクのURLを慎重に確認することが重要です。
公式のえきねっとサイトのURLと異なる場合は、フィッシングの可能性があります。リンクをクリックせず、公式サイトに直接アクセスして確認する習慣をつけましょう。また、リンクにカーソルを合わせて表示されるURLを確認することで、安全なサイトかどうかを判断することができます。
また、フィッシングサイトかどうか判断するために、Googleの透明レポートリンクチェッカーや、Keeperパスワードマネージャーの自動入力機能であるKeeperFillを使うことも、フィッシング詐欺に引っかからないための対策の一つになります。
ボルトに登録された公式サイトでしかパスワードを自動入力しないため、偽のログインページに誤ってアクセスしても、パスワードが入力されることはありません。
個人情報の提供要求には応じない
メールやSMSで個人情報やクレジットカード情報の提供を求められた場合は、絶対に応じないようにしましょう。
えきねっとの公式な連絡では、個人情報を直接求めることはないことも公式のサイトで言及されています。
不審なメッセージを受け取った場合は、えきねっとの公式サイトにアクセスして、公式サポートに問い合わせて確認を取ることで、そのメッセージが本物かどうかを見分けることも可能です。
まとめ:Keeperでフィッシング詐欺被害から身を守ろう
フィッシング詐欺は年々巧妙化しており、私たちの個人情報やクレジットカードなどを狙っています。
今回は、「えきねっと」が出している公式のメールに似せてきて、受信者の不安を煽ることで、急いで行動させることで多くの被害者を出していることが伺えます。
しかし、適切な対策を講じることで、そのリスクを大幅に減少させることが可能です。
えきねっとを安全に利用するためには、強力なパスワードの設定や二要素認証の導入、リンクの確認などが不可欠です。
また被害に合わないためには、直接えきねっとにアクセスしたり、えきねっとのカスタマーサポートに正しい内容なのか確認するために、直接連絡してみるのも被害に遭わないために有効な手段です。
あらゆるオンラインアカウントを簡単に管理するために、
この機会に、まずは、Keeperパスワードマネージャーの30日間の個人版フリートライアルを試してみてはいかがでしょうか。