【フィッシング詐欺】【メルカリ】お客様のアカウント認証に関するお知らせという偽メールが届く

【メルカリ】お客様のアカウント認証に関するお知らせという偽メールが届いたことについて解説しています。

 

私個人としてはメルカリは便利なのでよく利用しますが、最近になって「Gmail」に偽メールが届きました。このような偽メールが届くようになっていますので、警戒の意味でこの記事に投稿します。

 

■メール本文

 

 様、

メルカリのサービスをご利用いただき誠にありがとうございます。当社のシステムによる監視の結果、お客様のアカウントにセキュリティ上の問題があることが判明しました。アカウントの安全性を確保し、引き続き当社のサービスをスムーズに利用していただくため、お客様にアカウントの再認証をお願いしております。

【注意事項】
このメールを受信してから48時間以内に認証を完了してください。そうしない場合、お客様のアカウントは一時的に凍結される可能性があり、正常な利用ができなくなります。

【認証手順】

当社の公式ウェブサイトにアクセスしてください。

メルカリ サインイン

画面に表示される指示に従い、必要な手続きを完了してください。

【認証完了後】
認証が完了次第、お客様のアカウントを確認いたします。問題がある場合は、速やかにご連絡させていただきます。

【お問い合わせ】
認証手続き中に問題が発生した場合は、お気軽に以下の方法でお問い合わせください。

電話:050-5865-1110(平日9:00-18:00)
メール:support-2zu5yj@mercari.co.jp
ご協力とご理解をいただき、誠にありがとうございます。今後とも、より質の高いサービスを提供するために努

Gmailでは迷惑メール等は自動で振り分けされるようになっているので、このようなメールが届いても被害にあうことはほとんどありません。しかし、Gmail以外に届いた場合は見抜けるかどうかは怪しいものなので、このようなメールが届いた場合は、注意した方が良いです。

【警告表示】ご注文商品がファミリーマート(コンビニ)で受取可能になりました。

私はネットで買い物をする場合は、Amazonをよく利用します。利用の際にはコンビニ受け取りすることが多いのですが、今回Amazonで買い物を行い、コンビニ受け取りを指定すると、下記の警告が表示されました。(なお、AmazonアカウントではGmailアドレスを登録しています。)

 

メールタイトル:「ご注文商品がファミリーマートコンビニエンスストア)で受取可能になりました ※7月3日水曜日になると返送されます」

このメールにはご注意ください
多数のユーザーが同様のメールをフィッシング 詐欺として報告しているため、このメールには 危険なコンテンツが含まれている可能性があり ます。 メールに含まれるリンクのクリックや添 付ファイルのダウンロード、または返信に個人 情報を記載することは避けてください。

いつもであえば、このような警告表示は表示されないのですが、今回はなぜか表示されました。レアなケースではないかと思い、今回記事として投稿することとしました。

このような警告が表示されたので、メールの内容を「疑い」ました。本当にAmazonから届いたメールなのか。何度も入念に確認し、フィッシングメール等ではないことがわかりましたので、今回は何事もなく購入した商品をコンビニエンスストアで受け取ることができました。

 

さくらインターネット株式会社の最新のWebサイトに対するセキュリティリスクと対策から学ぶ

internet.watch.impress.co.jp

この記事で重要となるポイントをまとめてみる。最低限のセキュリティ対策として「ID管理強化」、「認証強化(二要素認証2FAの使用、パスワード強度を見直し)」、「検出強化(WAF)」。

・ID管理強化で企業側でできることは、ユーザーの配置転換や離職など、組織変更に合わせて適切に管理する。ID管理システムの導入。ID管理システムは、複数のID・パスワードを一元管理。これにより、管理者やユーザーの利便性・生産性が向上し、セキュリティリスクの低減やコンプライアンス強化にもつながります。次にアクセス権の管理。分散するアカウント情報の管理を一元化し、職務分掌に合わせてアクセス権を設定することで、セキュリティリスクの低減を支援します。

・データ漏えい・侵害の60%はウェブが関係。ウェブアプリケーションサイバー攻撃の玄関口になる。
(攻撃の80%が盗まれた認証情報を悪用)

・WebAPIは事業者に価値のあるもので、攻撃者にも価値がある。

・そして恐ろしいことが書かれており、「WAF(Web Application Firewall)がJSONベースのSQLインジェクション攻撃を検知できない問題も発見されていること」。WAF(Webアプリケーションを防御するファイアウォール

・またセキュリティ侵害が発生する技術課題もあるが「時間」や「予算」が限られていること。

これに関して、アイティーエムでは「ツールによるウェブアプリケーション診断」などのウェブアプリケーション診断サービスを用意しているというが、数十万程度する。この数十万程度するサービスを、日本の企業のどれくらいが利用することができるのか疑問である。大企業であれば予算があると考えられるが、中小企業だと予算がでないので、そもそもウェブアプリケーション診断サービスを利用できることもありえる。手段としては低価格のウェブアプリケーション診断サービスを利用することになるだろう。もしくは安い価格で外部、もしくは内部の人間を雇い診断を行うか。

・現在、稼働するWebアプリケーションの環境や設計(アーキテクチャ)から攻撃の可能性を理解すること。
当たり前の話だが、攻撃者の立場に立ち考えることは重要。

・記事の最後に書かれていた犯罪者もコスパを考えており、決済系が狙われる。ダークウェブで売買して初めて収益となるということ。

 

ランサムウエア(身代金要求型ウイルス)の侵入原因7割がVPN

ランサムウェア侵入、「VPN」が7割 多要素認証で被害抑制を - 日本経済新聞

 

今回はサイバーセキュリティ関連のニュースを見ていると上記の記事が気になった。ので、VPN(仮想私設網)機器の悪用について調べてみる。

 

www.infosecurity-magazine.com

 

www.techtarget.com

 

www.31west.net

調べてみると「クライアントをランサムウェアから守る方法(How To Protect Your Clients From Ransomware)」という記事に気になることが書かれていた。それはVPNトラフィックを暗号化し、IP アドレスを隠すことでユーザーを保護できるが、ランサムウェアに対するセキュリティはゼロということである。VPN を使用すると何でもダウンロードでき、ダウンロードしたもの中にランサムウェアが含まれていおり、それをインストールしてもVPNは警告しないということのようだ。さらにランサムウェアは既にコンピュータ内で作動し、トラフィックの暗号化やIPアドレスの隠蔽は、すでに感染してしまったデータには影響を与えない。なので、VPNを使う者が注意を払わなければならない。さらに多要素認証 (MFA)の活用といったところである。これは当たり前の話である。

 

【フィッシング詐欺】プライムの会費のお支払い

今回はGmailの「迷惑メール」に毎回届く、プライムの会費のお支払いというフィッシング詐欺系のメールについて書きます。

 

 

最近、Gmailの「迷惑メール」にやたら届くのがoutlook.comやhotmail.comのメールを利用した迷惑メールである。しかも内容が全部同じで「プライムの会費のお支払 いにご指定いただいたお客様のお支払い方法が承認されないため366 プライムの会費(税込540円) をご請求することができませんでした。」というものだ。

現状として私はAmazonプライムの会員ではあるが、クレジットカード支払いにしているので、「お客様のお支払い方法が承認されない」というのが、まず意味がわからない。

個人情報を不正入手するために、 同様のメールが使用されたことがあります。 メールに含まれているリンクのクリックや添付ファイルの ダウンロード、または返信に個人情報を記載することは避けてください。 問題ない

そしてこの迷惑メールを開くと、上記のポップアップが表示される。

 

プライムをご利用いただきあ りがとうございます。 プライムの会費のお支払 いにご指定いただいたお客様のお支払い方法が承認されないため366 プライムの会費(税込540円) をご請求することができませんでした。 引き続きプライムの特典 をご利用されたい場合、 お支払い方法を更新するには、以下のリンクをクリックしてください。 プライム会員 *****@*****.com 会 員 無効 送 信 日 2023年7月13日

ポップアップの下のメール本文は上記のようになっている。Amazonのプライム会員ページのようになっているが、Gmailが自動的にセキュリティ診断を行い、「個人情報を不正入手する」目的でこのメールが送信されたことを通知してくれるので、くれぐれも「ログイン」ボタンを押してページを開かないようにしてほしい。

 

 

悪のための言語モデル vs 正のための言語モデル

www.itmedia.co.jp

NTTセキュリティがChatGPTでフィッシングサイトを自動検出する方法を開発し精度は98%以上となったことが書かれているが犯罪者からすればフィッシングサイト自体もChatGPTを用いて作成しているところも現時点であるだろうと考えると、「悪意のある者がコントロールする言語モデル vs セキュリティ防御者がコントロールする言語モデル」に将来的に完全に移行するのではないかと考えている。

 

AIを用いたコーディング支援ツールのリスクと懸念

今回は「AIを用いたコーディング支援ツールのリスクと懸念」について書きます。

まずはChatGPTを介して言語モデルに「あなたはセキュリティエンジニアだと想像し、GitHub Copilotのリスクと懸念に解説してください。」と質問してみました。

GitHub Copilotは、コーディング支援ツールとして開発者に広く利用されています。以下に、GitHub Copilotに関連するリスクと懸念点をいくつか解説します。

1. セキュリティとプライバシー: GitHub Copilotは、コードの自動生成を行うため、利用者のプライバシーとセキュリティに関わる情報にアクセスする必要があります。このプロセスには、ソースコードやコメントなどのデータがサーバーに送信され、AIモデルによって処理されます。適切なセキュリティメカニズムが備わっているかどうか、データの保護と機密性をどのように確保するかが重要です。

2. コードの品質と慣用句: Copilotは機械学習モデルを利用しており、膨大なコードベースから学習しています。しかし、AIは人間とは異なる思考パターンを持つため、生成されるコードが正確でない、またはセキュリティ上の脆弱性を含む可能性があります。開発者は、Copilotが生成したコードを慎重にレビューし、適切なテストと検証を行う必要があります。

3. ライセンスと著作権: Copilotはオープンソースのコードを学習するため、生成されたコードはオープンソースのライセンスに従っている場合があります。しかし、Copilotが生成したコードがライセンス違反や著作権侵害を含む可能性もあります。開発者は、Copilotが提案するコードのライセンスや著作権に留意し、適切な権利情報を保持する必要があります。

4. 偽情報とセキュリティリスク: Copilotは学習データから生成されたコードを提案するため、不正確な情報やセキュリティ上のリスクを含む可能性もあります。開発者は、提案されたコードを信頼する前に検証する必要があります。また、Copilotを利用する際には、セキュリティベストプラクティスを遵守し、適切なセキュリティテストを実施することも重要です。

これらのリスクと懸念点を考慮することで、GitHub Copilotを安全に活用することがで

きます。開発者は、自身のコードを適切にレビューし、セキュリティに関連するコードや機密情報には特に注意を払う必要があります。さらに、Copilotの提案を補完的なツールとして活用し、最終的な判断は自身の専門知識と経験に基づいて行うことが重要です。

質問した結果、上記の回答が得られた。この回答の中で気になるのは「セキュリティとプライバシー」と「ライセンスと著作権」である。ライセンスと著作権でいうと、Appleは、自社のデータが競合他社に流出することを防ぐため、Apple はOpenAIのChatGPTや Microsoft 所有のGitHub の Copilot などのツールの内部使用を制限しているGitHub Copilotのようなツールは、プログラミング作業の効率化を図ることができるが、データ流出ということを考えると、企業にとってはデータの方が価値があるので使いづらい部分はあると考える。また、最近では、MicrosoftがOpenAIとのパートナーシップでCoPilotを作成しましたが、CoPilotでは、秘密情報や著作権のあるコードなどが補完オプションとして提案されている可能性がある