サイバーセキュリティ 
KeeperをSlackのワークフローと連携させると
フィッシングやなりすまし詐欺の中でも、特に報告が多い手口のひとつが、Amazonを名乗る詐欺です。フィッシングはログイン情報や支払い情報を盗み取るために使われる代表的なソーシャルエンジニアリングの手法であり、実際の情報漏えい調査でも頻繁に確認されています。
このブログでは、Amazonを装ったフィッシングメールの見分け方と、Amazonになりすました迷惑メールやフィッシングメールの被害に遭わないための対策方法をご紹介します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
Amazonを名乗る迷惑メールが届く理由
Amazonを名乗る迷惑メールは、特定の個人だけを狙うのではなく、無作為に大量送信されるケースも多くあります。そのため「自分はAmazonをあまり使っていないのに届く」ということも珍しくありません。ここでは、なぜこうしたフィッシングメールが私たちのもとに届くのか、その理由を紹介します。
登録しているサービスが個人情報漏洩する
多くの人がAmazonだけでなく、さまざまなオンラインショップやサービスに個人情報を登録しています。名前、住所、電話番号、メールアドレス、そして場合によってはクレジットカード情報まで、複数のサービスに保管されていることがあります。
問題は、これらのサービスで情報漏洩が発生した際に、流出した情報が迷惑メールの送信リストとして悪用される可能性があることです。攻撃者は入手したメールアドレスを使って、Amazonを装ったフィッシングメールのターゲットとして利用する場合があります。
無作為に大量の迷惑メールが送信されている
フィッシング攻撃の多くは、無差別に大量のメールを送りつける手法をとっています。この手法はスパムフィッシングとも呼ばれ、特定の個人やグループを狙うのではなく、大規模に実施されます。
送信者はAmazonが世界中で広く利用されていることを知っており、「Amazonのユーザーである確率が高い」ことを利用します。無作為に送っても一定数が反応する可能性があるため、迷惑メールが大量にばらまかれます。
ダークウェブ上に個人情報が流出している
攻撃者がフィッシングメールを送る際に利用する大きな要因の一つが、ダークウェブ上での個人情報の売買です。サイバー攻撃やデータ漏洩によって得られた個人情報が売買されることは珍しくありません。
これにより、メールアドレスだけでなく、パスワードや住所、場合によってはクレジットカード関連情報が含まれることもあり、より“本物らしい”メールが作られるリスクが高まります。
Amazonを装ったフィッシングや迷惑メールの例
ここでは、よく見られるフィッシングや迷惑メールの例を紹介します。これらのメールは「アカウント停止」「支払いエラー」「注文確認」など、不安や焦りを利用してリンクをクリックさせ、偽サイトに誘導して情報を入力させることが目的です。
アカウントや支払い情報の更新依頼
よく見られるフィッシングメールの一つは、「アカウント情報の更新」や「支払い情報に問題があります」といった内容のメールです。これらのメールは、アカウントが停止されるかもしれないという緊急性を演出し、受信者にリンクをクリックさせます。
リンク先はフィッシングサイトに作られており、本物のAmazonのログインページのような見た目になっている場合があります。そこでログイン情報やクレジットカード情報を入力してしまうと、情報が盗まれる可能性があります。。
アカウントの凍結通知
「あなたのアカウントがセキュリティ問題のために凍結されました」といった内容のメールは、受信者にパニックを引き起こしやすい典型的な詐欺です。
メールには「解除のためにログインが必要」などの文言とリンクが含まれており、クリックすると偽のログインページに誘導されるケースがあります。焦って入力してしまわないよう注意が必要です。
覚えのないオーダー通知
「あなたのアカウントで高額の注文が確認されました」といった内容のメールも、フィッシングの典型例です。受信者に身に覚えのない注文を確認させることで不安を煽り、偽のキャンセルページに誘導して個人情報を盗み取る手口です。
注文の有無を確認する場合は、メール内リンクではなく、公式アプリまたは公式サイトから直接ログインして注文履歴を確認しましょう。また、Amazonのアカウント内メッセージセンターで通知内容を確認する方法もあります。
Amazonを装ったフィッシングメールや迷惑メールを見分ける6つの方法
Amazonを装ったフィッシングメールは巧妙に作られており、一見すると本物のように見えることがあります。しかし、いくつかのポイントを確認することで見分けることが可能です。ここでは、フィッシングメールを見破るための具体的な方法を紹介します。
1 メールの送信元を確認する
送信元アドレスが「@amazon.co.jp」「@amazon.com」などの公式ドメインかどうかを確認します。表示名がAmazonになっていても、実際のメールアドレスが不自然な場合があります。
なお、From(差出人)表示は偽装されることもあります。送信元の表示だけで安心せず、疑わしい場合はメール内リンクから操作せず、公式アプリやブックマークした公式サイトから直接確認するようにしましょう。
2 緊急性を強調するメッセージ
「すぐにアカウントが停止されます」など、緊急対応を促す内容は詐欺の手口であることが多いです。焦らせて判断を鈍らせ、リンクをクリックさせることが目的です。
「至急」「本日中」「24時間以内」などの表現がある場合は、特に注意して確認しましょう。
3 宛名を確認する
本物のメールは通常、あなたの名前が記載されている場合が多い一方、フィッシングメールでは「お客様」「会員様」など曖昧な宛名が使われることがあります。
宛名が不自然、または文面の敬語が不自然な場合は、フィッシングの可能性を疑いましょう。
4 身に覚えのない通知
身に覚えのない注文確認やアカウント凍結通知が届いた場合は、フィッシング詐欺を疑い、冷静に対応しましょう。
確認はメール内リンクではなく、Amazon公式アプリ/公式サイトからアクセスし、注文履歴やメッセージを確認するのが安全です。。
5 リンクのアドレスを確認する
メール内のリンクにカーソルを合わせたり、スマホの場合は長押しして表示されるURLを確認し、公式のAmazonサイトかどうかをチェックします。
URLに不自然な文字列が含まれていたり、見慣れないドメイン・短縮URLの場合はクリックしないでください。
6 不自然な文法や誤字脱字がないか確認する
フィッシングメールには不自然な文法や誤字脱字が含まれていることが多いため、注意深くチェックしましょう。文章が不自然、句読点や改行が不自然、レイアウトが崩れている場合は要注意です。ただし近年は、攻撃者がAIを使って文章を整えるケースもあります。誤字脱字が少ない=安全とは限らないため、送信元(ドメイン)や宛名の形式、リンク先URLなど、ほかの見分けるポイントもあわせて確認しましょう。
このようなAmazonを装ったフィッシングメールに関して、不安な場合は、Amazonのカスタマーサポートなどを通して、フィッシングや迷惑メールについて報告し、確認しましょう。
Amazonアカウントを保護するための対策
ここでは、フィッシングメールの被害を未然に防ぐための対策方法をご紹介します。重要なのは怪しいメールを見分けることだけでなく、万が一のときに被害が広がらない状態を作ることです。
クリックする前にリンクをチェックする
フィッシングメールに含まれるリンクをクリックする前に、リンクのURLを慎重に確認することが重要です。公式のAmazonのURLと異なる場合はフィッシングの可能性があります。不審な場合は、リンクをクリックせず、公式アプリや公式サイトに直接アクセスして確認する習慣をつけましょう。
Amazonアカウントのセキュリティ設定を見直す
Amazonを名乗るフィッシング攻撃の被害に遭うリスクを減らすためには、アカウントのセキュリティを強化することも重要です。例えば、パスワードを強力かつユニークなものに設定し、多要素認証を設定しておくことが効果的です。
また、パスワードを使い回している場合は、ひとつの漏えいが他のアカウント被害にもつながる可能性があります。主要アカウントを含めて見直しましょう。
自分の機密情報をネット上に公開しない
SNSやインターネット上などに、住所や電話番号などの機密情報を不用意に公開しないようにしましょう。こうした情報が悪用されると、ターゲット化された巧妙なフィッシング詐欺やアカウント乗っ取りにつながることがあります。
セキュリティーソフトを使用し常時アップデートする
フィッシングメールに添付されたファイルやリンクには、マルウェアやウイルスが含まれていることがあります。信頼できるウイルス対策ソフトウェアをインストールし、定期的に更新することで、デバイスを保護できます。
併せて、OSやブラウザ、アプリも最新の状態に保ち、悪意のあるサイトや攻撃への耐性を高めましょう。
フィッシングメールの手口を学ぶ
フィッシングメールの手口を学んでおくことも非常に有効です。どのようにユーザーを騙そうとするのか、その手口を理解しておけば、騙される確率を大幅に減らすことができます。
Amazon公式サイトでもフィッシングメールの事例が紹介されているので、定期的に確認しましょう。
Amazonを装った迷惑メールにだまされるとどうなる?
Amazonを装った迷惑メールにだまされてしまうと、次のようなことが起こり得ます。
Amazonを装ったフィッシングメールから身を守りましょう
Amazonを装ったフィッシングメールは巧妙に作られているため、誰でも引っかかってしまうリスクがあります。しかし、不審なメールをクリックする前にリンクの確認を行い、アカウントのセキュリティを見直すことで、被害を未然に防ぐことが可能です。
また、パスワードマネージャーを活用することで、オンラインアカウントのセキュリティリスクを軽減できます。特に、メール内リンクからのログインを避け、公式アプリ/公式サイトで確認する習慣をつけることが重要です。
- Amazonアカウントは強力でユニークなパスワードで保護する
- 安全なパスワード生成ツールを使う
- 多要素認証(MFA)を有効にして不正ログインを防ぐ
- 利用可能ならパスキーを活用する
- 「至急」「停止」などを強調するメールは特に慎重に確認する
- パスワードマネージャーの自動入力を活用し、URLが一致しないサイトでは入力しない
Keeperでは、強力なパスワードを生成し、安全に暗号化されたボルト内に機密情報を保管できるツールを提供してます。また、KeeperFillを利用することで、URLがなりすましサイトのものだった場合、ログイン認証情報を入力しないため、フィッシングサイトを見分けることにも役立ちます。フィッシング詐欺被害を事前に防ぐために、この機会にまずは、Keeperパスワードマネージャーの30日間の個人版フリートライアルを試してみてはいかがでしょうか。
