Scribble at 2022-05-30 17:25:23 Last modified: 2022-05-30 17:32:38

なかなかしっかりできたフィッシング・メールだ。僕は常にメールをプレイン・テキストとして表示させているため、HTML メールとしてはどう表示されるのか、試しに確認してみた。フィッシング・メールは殆どが HTML メールとして送られてくるため、ソースの HTML ファイルをダウンロードしてから、ビーコンに相当するタグとか CSS の背景画像 URL、それから JavaScript へのリンク等を全て削除し、文面に相当するソースだけを残して、Amazon.co.jp のアカウントへアクセスしない WWW ブラウザでファイルを開くと、上記のスクリーン・ショットのようになる。

ボタンやリンクが色々と表示されているが、「注文履歴」、「アカウントサービス」、「注文番号」、「注文の詳細を表示する」ボタン、「注文についてのヘルプページ」、「Amazon.co.jp/security」というアンカー文字列や UI は、"www.jp-amazon.ana-co.top" とか "www.jp-amazon.ui-co.top" といった無関係なドメインにリンクしている。逆に言えば、それ以外の画像とか商品情報は本物の Amazon.co.jp からリソースを引き出して使っているため、大半のコンテンツは正常にコーディングされているというわけだ。

もちろん、こんなものに騙されるわけはない。アマゾンで注文したら確認のメールが届くようになっているし、TFA が無効になったり、確認のメール・アドレスを変更されたり削除されたら、その事実そのものがメールで通知される。そして、文面のとおりアマゾンのアカウントが凍結されているかどうかは、自分でメールとは無関係にアマゾンへアクセスすればすぐに分かる。そして、メールに記載されている宛名が「Аmazon お客様」となっている点でも偽物だと分かる。メールに氏名を表記されるのは困るという人もいるとは思うが、宅配便を使うサービスに偽名を登録する者はいまい。こういうところで識別符号としての氏名を使うからこそ、送り元が正しい登録先であることが確認できるのだから、どちらのリスクをとるべきかは自明とは言えないだろう。僕は、パーソナル・データを使う側として〈企業側に手加減する〉と思われては困るので、企業の chief privacy officer としてでなく、敢えてサービスの利用者として言うが、この箇所は自分で登録している氏名を記載してもらう方が逆に安心できる。