パスワードを忘れた? アカウント作成
12877135 story
変なモノ

ヒルトンホテル、ポイントプログラム会員にフィッシングメールそっくりの電子メールを送る 12

ストーリー by headless
真偽 部門より
やや旧聞になるが、ヒルトンホテルが7月下旬、ポイントプログラム「Hilton HHonors」の会員あてにフィッシングメールにしか見えない文面の電子メールを送信し、HHonorsのITサポート担当までフィッシングメールだと判断する事態になっていたそうだ(Lenny Zeltser氏のブログ記事The Registerの記事)。

この電子メールは「重要なメッセージ」のような件名で、冒頭のあいさつは会員のファーストネームのみ。本文は、あなたのアカウント情報が正しいかどうか確認したいので、Hilton HHonorsアカウントにログインして電子メールアドレスや住所、電話番号、受信する電子メールの選択を確認してほしいという内容だ。このほか、アカウントレベルやポイント数が記載されており、「ACCOUNT LOGIN」「UPDATE NOW」といったリンクも用意されている。

このメッセージを受け取った会員が正規のものかどうかHilton HHonorsのTwitterアカウントに質問したところ、HHonorsチームが送ったものではないので、アカウント情報を入力しないように警告されている。米NCRのLenny Zeltser氏はブログ記事で企業から送られた電子メールの良い例と悪い例を挙げ、フィッシングメールそっくりの正規のメールが増えると顧客の判断が鈍るので避けるべきだと述べている。

なお、元記事は正規の電子メールだった前提で書かれているが、そう判断した理由には触れられていない。Twitterでは別のユーザーが電子メールヘッダーのスクリーンショットを投稿し、Hiltonから送られたものかHiltonがハックされたのかどちらかだとコメントしているが、この件に関するHHonorsからの続報は出ていない。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「ACCOUNT LOGIN」「UPDATE NOW」といったリンクも用意されている。

    しかも、

    is that its links are using HTTP, instead of HTTPS,

    ときた。
    うん、これはフィッシングメールと思われてもしょうがないな。
    (もちろんリンク先がHTTPSなら即信頼できるという意味ではないが)

  • by Anonymous Coward on 2016年08月14日 13時54分 (#3063119)

    デジタル署名があるのは銀行からのメールぐらいなのはなぜなんだろう。
    コストが高いのだろうか。
    それともどうせデジタル署名をつけても、ほとんどの顧客は確認しないから無意味だと考えているのだろうか。

    • デジタル署名があるのは銀行からのメールぐらいなのはなぜなんだろう。
      コストが高いのだろうか。
      それともどうせデジタル署名をつけても、ほとんどの顧客は確認しないから無意味だと考えているのだろうか。

      Android / iPhone 版 の Gmail アプリや、3キャリアのキャリアメールアプリ、Gmail・Yahoo! Mail などの主要Webメールサービスが、S/MIME 署名の検証に対応していないからでは?

      MUA が対応していないと、多くのユーザーが「不審なファイル ("s/mime.p7s") が添付されている怪しいメール」だと認識してしまい、かえって不信感を招いてしまいます。

      ユーザーの前に S/MIME 署名に対応する気がない事業者を責めるべきだと思います。

      親コメント
      • by Anonymous Coward

        MUA が対応していないと、多くのユーザーが「不審なファイル ("s/mime.p7s") が添付されている怪しいメール」だと認識してしまい、かえって不信感を招いてしまいます。

        銀行などからのメールですでに慣れているユーザーに対して、そのような心配はないのでは?

    • それともどうせデジタル署名をつけても、ほとんどの顧客は確認しないから無意味だと考えているのだろうか。

      そうだと思う。
      デジタル署名のなんるかを理解し気をつけてる人だって、日々の業務に忙殺されて釣られるときは釣られますからね。
      いわんや只の顧客をや。

      親コメント
    • Webでさえ、私のまわりでHTTPSになっていて、正しいURLを意識している人がそれほど多くない。

      S/MIMEになったからといって、それを確認する人がどれくらい居るだろうか?

      親コメント
  • by Anonymous Coward on 2016年08月15日 23時14分 (#3063811)

    ときどき正規サービスなのにドメイン詐称していて
    メールサービス側でブロックされることがある

    プロバイダ自体がユーザのBot感染を放置しすぎててspamhausにブロックされてるケース

    こういうことは平和すぎる日本だけなのかなぁ

  • by Anonymous Coward on 2016年08月16日 20時22分 (#3064387)

    送ってくるメールのURLを短縮変換しやがるので確認すら出来ませんね

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...