パスワードを忘れた? アカウント作成
15590210 story
インターネット

えきねっとを語る巧妙なフィッシングメール増加。東京都水道局や千葉銀行なども 48

ストーリー by nagazou
ご注意 部門より

JR東日本の指定券予約サービス「えきねっと」を偽装したフィッシングメールが大量に出回り始めている。フィッシング対策協議会によれば「えきねっとアカウントの自動退会処理について」などの件名でフィッシングメールが届いているという。編集子のところに大量に届いているものをそのまま引用すると以下のような内容となっている(フィッシング対策協議会ITmedia)。

「えきねっと」は 2022 年 2 月21 日にサービスをリニューアルいたしました。これ に伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より起算し て2年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウント は、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退 会処理を、本規約に基づき、2022 年 4 月 18 日より順次、実施させていただきます。

と非常に巧妙な内容で、えきねっと会員であれば引っかかってしまう可能性もありそうだ。実際、ITmediaの記事ではプロレスラーの桐生真弥さんが筆禍か掛けたとする内容のツイートを紹介している。この件に関しては、フィッシング対策協議会がJPCERT/CC にサイト閉鎖のための調査を依頼中だとしているものの、3月4日の15時段階ではフィッシングサイトは稼働中であることから注意するよう警告している。

また地方銀行を偽装したものも出回っている。こちらは千葉銀行を語ったもので「【千葉銀行】ご利用確認」という件名が使われていることが多いようだ(フィッシング対策協議会INTERNET Watch)。このほかにも水道局をかたる不審なメールが出回っているとして東京都水道局が7日にトップページ上に警告を出している。道料金の割引を適用するとの内容でフィッシングサイトに誘導するものであるとしている(東京都水道局)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by junichi308 (15687) on 2022年03月08日 11時53分 (#4211676)

    スマホやWEBメーラなんかだと
    HTMLメールで画像読み込み勝手にしちゃって
    メールアカウント生存確認が容易になってるからなぁ

  • by Anonymous Coward on 2022年03月08日 12時38分 (#4211703)

    これ、*.devドメインのフィッシングサイトへのリンクのやつがすり抜けてきた。
    *.cnドメインのような判りやすいのは弾きやすいけど、devだとちょっと困る。

    • by Anonymous Coward

      ご丁寧にDKIM署名されてたりする
      使い捨てドメインの取得をなんとか止められないんかな

      # 国内だとお名○.comが酷すぎ

    • by Anonymous Coward

      .comドメインのやつも来たぞ。さすがに.comを全部弾くのは無理

  • by Anonymous Coward on 2022年03月08日 12時09分 (#4211683)

    “ひっかかった”がこんがらかって
    “筆禍か掛けた”(ひつかかかけた)に?

    • by Anonymous Coward on 2022年03月08日 15時33分 (#4211845)

      「今日の」ではなく「いつも」なのでは?

      親コメント
    • by Anonymous Coward

      「引っ掛かりかけた」かな?

    • by Anonymous Coward

      桐生真弥氏は詐欺にあいかけたとしているので、
      "ひっかかった"ではなく"ひっかかりかけた"が正しい。

    • by Anonymous Coward

      ×えきねっとを語る
      〇えきねっとを騙る

    • by Anonymous Coward

      舌禍があるんだから、筆禍もあるよね。SNSが炎上するのは何禍になるのだろう?画像で炎上することもあるから、筆禍ではないのかな?

  • by Anonymous Coward on 2022年03月08日 12時18分 (#4211690)

    自分の名前が文面に出てこないメールは、基本的にクリック/タップしてない。
    必要なら面倒でもブラウザやアプリから見に行ってる。

    • by Anonymous Coward

      メールアドレスが流出してるなら名前も一緒に流出してる可能性があるのでその判定方法もどうかと思うけどね
      自分の名前が文面に出てくるかどうかに関係なくブラウザやアプリから見に行くのが本来は正しい。面倒だけど。

  • by Anonymous Coward on 2022年03月08日 12時24分 (#4211695)

    一瞬引っかかったかと思って、再度メール確認したらちゃんと
    https://www.eki-net.com/Personal/Top/Index [eki-net.com]
    になってて安心した。

    • by Anonymous Coward

      えきねっと以外にも以前「古いメルカリのキャンペーンメール」の日付けを変えたフィッシングメールがありました。
      文章がこなれているので、文面だけでは判断できません。
      ※一番いい対処法は*HTMLメールを使わない*こと

      • by Anonymous Coward

        >※一番いい対処法は*HTMLメールを使わない*こと
        普段はテキスト読み取りにしているのですが、仕事のメールで本文中に画像を貼り付けてくるメールが来ることが困りモノです
        画像が見えない事によりメールが成り立たないor不自然になる場合なら気づくのですが
        文章の用件+画像の用件の様なケースだと取りこぼしてしまうことも・・・

      • by Anonymous Coward

        最近、テキストメールを廃止してHTMLメールに一本化する流れも強いので、その対応版難しくなりつつあるかな。
        (Javascriptを無効にすれば安全!みたいな時代を思い出した)

    • by Anonymous Coward

      退会処理が完了しましたってメールを受け取ったあとに、改めて「自動退会処理について」ってメールだったので、
      なんか変だなと思いつつメール本文が普通だったのでなにげにそのまま保存してました(クリックはしてない)。
      なにげにリンクにカーソル合わせて、ポップアップしたアドレスを見てびっくりした次第。

    • by Anonymous Coward

      テキストメールの文面はそうだったけど
      HTMLメールの方でリンク先が改変されてたわ

      • by Anonymous Coward

        なにその卑劣な罠!?
        HTMLメール非対応のメーラのおかげで助かったわ。

  • by Anonymous Coward on 2022年03月08日 12時31分 (#4211701)

    えさねっと
    えきれっと
    になっている

  • by Anonymous Coward on 2022年03月08日 12時38分 (#4211704)

    文面中のURLリンクの中身が別ドメインだったので偽物だと判断できたけど、そこら辺まで誤魔化せるようなものが出てきたら自分程度の人間には真偽が判断できない

    • by Anonymous Coward

      自分も最近のやつは判別難しくなってる
      メールのヘッダー見ても改変されてて判別が難しくなってきた
      多分DNS関連まで改変して判別出来ないようにしてる
      (最初の頃はその改変も間違えてて笑ってたんだが)
      文面自体は日本語に詳しい人や本物のメールを入手して使ったりで見た目の判別はひっかかると思うようにしてるが
      本当のメールだとしてもリンクは踏まないようにすべきかもね

    • by Anonymous Coward

      自分もURLで気付きました。
      URLも似ている文字で作られたら気付かない可能性があるので、
      ID・パスワードの類はパスワード管理アプリで一括管理して、自動入力のPOPUPが出るかどうかで判断するようにしています。

    • by Anonymous Coward
      自分も危なかったです。
      幸い、えきねっとは頻繁に使用しているので自動退会にならず、気にもしなかっただけ。
      • by Anonymous Coward

        自分の場合は、ここしばらく使うことがなく、また今後しばらくは使う予定がなかったので、
        「自動退会かぁ、まぁいいか。」で引っかかりませんでした。

    • by Anonymous Coward

      メールはプロバイダのフィルターを通して届いているけど、SPAM 100% と判定されているようだ。なんで騙されるのかな。

  • 文法や表現がおかしい、誤字脱字がお多いと言ったメールは迷惑メールと考えるという対策は攻撃側の高度化により無効化されたと思う。
    正直今となってはこの基準だと日本人が送信した少なくとも攻撃を目的としないメールも迷惑メール扱いになってしまう。
    スラドとかストーリーもコメントも日記もひどいから詐欺サイト扱い。

  • by Anonymous Coward on 2022年03月08日 13時00分 (#4211718)

    ブラウザやアプリで本サイトが確定しているとこのアナウンスを見る
    オフィシャルでアナウンスしていない情報のメールなら偽という判断基準くらいで丁度いい

    /*
    メールからURLクリックって
    添付ファイル開く阿呆と同じくらいだと思うんだが
    何故か自称玄人でもやるんだよなぁ
    */

    • ユーザー登録とかでの、メールアカウントの実在確認だと、
      webでメールアドレス登録→届いたメールのリンクを踏むとユーザー登録正式完了
      ってのが多いですよね。

      二段階認証のように
      webでメールアドレス登録→届いたメールに書かれた認証コードをweb側で入力
      というルールにすればいいと思うのですが、めったに見かけない。

      これだけフィッシングが流行ってるんだから、
      メールの運用上「メールのリンクは飛んだらダメ」を基本ルールにするためにも、
      やめてほしいと思う。

      そもそもリッチなメール文章表示なんて要らない、と、ちょっと前までHTMLメールは表示しない運用にしてたんですが、
      ちゃんとしてるところはテキスト表示でも問題ないんですが、
      最近は、HTML側でアンカーリンクになってるのそのままで、テキスト上は「ログインはこちら」とだけ書かれてURL情報などがないメールとか、
      ひどいところだとmultipart/alternativeだけど、text/plain部は中身空っぽ、というメールが増えてきて、
      いちいち切り替えるのも面倒になってきて、もう諦めてHTML表示にはしています。

      #ちなみに、昨日はBeep21(というか「いろいろたぶれ22 竹本泉」)を買うためにnote.comのユーザー登録をしたんですが、今確認したら
      text/plain側

      以下のURLにアクセスして、あなたのメールアドレス確認を完了させましょう。
      https://note.com/…

      text/html側

      以下のボタンを押して、あなたのメールアドレス確認を完了させましょう。
      <a href="https://note.com/…">本登録を完了する</a>

      と、それぞれ文章を使い分けてた。なかなか芸が細かくて好印象なんですが、
      それよりもメールのURLを踏ませるな、と言いたい…

      親コメント
      • 「webでメールアドレス登録→届いたメールのリンクを踏む」そして,リンク先で登録時に設定したパスワードを入力して本人確認とするタイプ

      • by Anonymous Coward

        二段階認証のように
        webでメールアドレス登録→届いたメールに書かれた認証コードをweb側で入力
        というルールにすればいいと思うのですが、めったに見かけない。

        うーん、これやるとマルチタスク操作が苦手な人やスマホ環境だと一定数は登録できなくなっちゃうんですよね。
        低スぺック端末だとブラウザ離脱したあとにメモリからアンロードされてセッションが切れちゃったりするので。
        一定数のユーザーを切り捨ててまでセキュリティを重視したいサービスなら構わないんでしょうけども。

        • by Anonymous Coward

          一時的に通知出るようにしとけ。

          一定数のユーザーを切り捨ててまでセキュリティを重視したいサービスなら構わない

          むしろその程度できないならネット使わせるな。
          そのためのリテラシー教育だろ。

    • by Anonymous Coward

      URL自動生成のタイプがあるからね。何時間以内有効とか。

    • by Anonymous Coward

      そもそも、10年ぐらい前までは「メールのURLから飛ぶのがアウト」「メールにはできるだけURLをつけて送信しない」が常識になってきてたのに、気づけばいつのまにかまたメールにURLをつけて送信する時代に逆戻りしてるんですよね…。
      一世代が過ぎて、常識を知らない人がメールの文面を考えるようになったからなんでしょうか?ヤバすぎる。

    • by Anonymous Coward

      メール開いただけでアウトですよ。下手したらメーラーがダウンロードした時点でちーん。

    • by Anonymous Coward

      メールにURL載せるなってことでしょそれ。それはあまりにも不便で非現実的では?

    • by Anonymous Coward

      自分は、メールはサンダーバードでデフォルトはプレーンテキストにしている。プラグインでDKIM Verifierを入れてる。スパムホイホイに入ってるメールのほとんどは、.cnできてDKIMの署名も.cnのドメインになってる。えきネットは署名なしとcnドメインの署名が全部違う署名になってる。

  • by Anonymous Coward on 2022年03月08日 13時17分 (#4211736)

    「えきねっと」は 2022 年 2 月 1 日(日)にサービスをリニューアルいたしました。これ に伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より起算し て1年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウント は、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退 会処理を、本規約に基づき、2022 年 3月 1 日(月)より順次、実施させていただきます。

    2か月以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合 は、 よりも前に、一度ログイン操作をお願いいたします。
    ---
    曜日を省いたか。
    意味不明なスペースは残ってるのね。

    • by rhodamine (32563) on 2022年03月08日 13時45分 (#4211758)

      「えきねっと」のアカウントは制限されています。通常の使用に影響を与えないように、下のリンクをクリックして関連情報をできるだけ早く確認してください。12時間以内に申し込みが届かない場合、アカウントは常にご不便をおかけして申し訳ございません。

      日本語が変だったので気づいた.元コメの文章だったらクリックしていたかも...

      親コメント
    • by ma2aki (43078) on 2022年03月08日 13時26分 (#4211744) 日記

      うちのは
      「えきねっと」は 2022 年 2 月 06 日(日)にサービスをリニューアルいたしました~
      ~2022 年 2 月 20 日(月)より順次、実施させていただきます。
      3/5受信のなんで送信日で中の日付かえてるんだろか?
      でも曜日がズレてるのはご愛敬

      親コメント
  • by Anonymous Coward on 2022年03月08日 13時19分 (#4211738)

    初めてえきねっとというものを知った。
    ETCのポイントもだけど。

  • by Anonymous Coward on 2022年03月08日 15時43分 (#4211849)

    えきねっとの方は、流し読みすればそのまま受け入れそうな、自然な文体でしたが、
    東京都水道局の方は、いかにもな胡散臭い文体ですね。

    「尊敬するお客様」
    「良いニュースです」

    とか、出来の悪い自動翻訳で作ったみたい。

    • by Anonymous Coward

      東京都水道局の方は、いかにもな胡散臭い文体ですね。

      「尊敬するお客様」
      「良いニュースです」

      良い言葉をかけて良い水を水増ししているのですよ

  • イーベストとECカレントから漏洩したメールアドレスには日々着弾してます。hhstyleから漏洩したアドレスには月一くらいの頻度で飛んできます。安売量販店と高級家具店で頻度が異なるのは、狙うターゲットによって変えてるってことなんでしょうかねぇ。

  • by Anonymous Coward on 2022年03月08日 17時09分 (#4211954)

    オフィシャルのオリジナルを原文にしているだけっていう
    ・自動退会はオフィシャルで実装されている
    ・そのメールもオフィシャルから送信されている
    ・以前はURLをそのメールに記載していたが今はしていない

    ってのが現状
    んでその原文や仕組みを流用されフィッシングURL付きで送っている

    https://www.eki-net.com/top/oshirase/attention/202201.pdf [eki-net.com]
    リリースPDFによると
    3/1以前はオフィシャルでもメールにURL載せてたぽいので
    「今回のことでURL載せないようにしました」
    てのが実際のところのようだけれどね

    • by Anonymous Coward
      これまで、「カードの利用が本人のものか確認が必要」とか「不正アクセスがあったため一時的にカードを無効にした」なんていう、内容自体がウソのものが多かったけど、

      今回は実際にJR東日本はえきねっとの自動退会処理を追加しているし、「使い続けたい場合はログインしてくれ」って内容とともにログインのURLが記載されたメールが発信されてました。

      実際には既に自動退会処理は開始されているわけだから日付はウソだけど、実際に変更された事実をネタにしているってのは、まぁよくリサーチしてネタにしたなぁ、とは思う。

      そのうちフィッシングメール自体に「本件に似せたフィッシングメールが出回っておりますので、十分ご注意ください」とか注意書きが書かれたりして。
  • by Anonymous Coward on 2022年03月08日 20時37分 (#4212149)

    モバイルSuica放置してる端末があるからそれ関係か?と思ってうっかりクリックしてしまった

    普段の迷惑メールはFromのアドレスみて判断できたが
    えきねっとはFromを偽装されてて気づかなかった

    • by Anonymous Coward

      うちに来たメールではリンク先が別サイトになっていて、ドメイン名はi-net.todayだった

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...