うららかな日曜日の午後、コーヒーを片手にのんびりメールをチェックしていたらApp Storeから身に覚えのない領収書メールが来ていた。そのタイトルが
確認オーダー "¥ 11,200 iTunes Gift Card”
えっ、iTunesカードなんて注文してない!と脊髄反射でメールを開け、勢いでメール文面の下の方にあった
「この購入を承認しなかった場合は、にアクセスしてください: itunes支払いキャンセル」
の”itunes支払いキャンセル”の部分をクリックした。これが最悪の行動であったと後で思い知らされることになる。
この段階でメール自体が何か怪しい…と気づくべきだった。文面もツッコミどころ満載である。それなのに逆上してしまい、とにかく購入してもいないものを不正に誰かが注文しているからキャンセルしないと!という気持ちが強くてフィッシングメールかどうかなんて頭をカスリもしなかったのだ。
”itunes支払いキャンセル”をクリックしたらApple IDログインのページに飛んだ。
今思えばそこは偽のページだったのだが、まずAppleIDとパスワードを入力してログイン。そして、本人確認のため名前、住所、生年月日、クレジットカード番号とセキュリティ番号などを入力するように指示があり全部入力してしまった。キャンセルしたい一心で。我ながら愚かにもほどがある。
情報入力後に、きちんとキャンセルできたのかをAppleIDの管理画面で確認しようとしたけど、どこを見れば良いかわからない。ここでようやくメールを送ってきたAppleに問い合わせをしようと思い立った。(遅すぎる)
まず購入していないitunesカードの領収書メールが届いたこと、その購入キャンセルはちゃんと出来たかの確認をしようと思った。
Appleのコールセンターに電話し、オペレーターさんに状況を説明して届いた領収書メールの詳細を聞かれて答えているうちに、オカシイところがいくつか明らかになった。
まず記載されていた注文番号→私に来たメールには番号のみ(本来はMから始まる数字らしい)
そして送信元のメールアドレスがなんと→letterinformationcustomeraccountalert86739765@hagdfs.me
この送信元のAPP STOREの横にある下向き三角をクリックしてメールアドレスを見た瞬間、これはAppleからのメールではなく偽メールだとわかった。オペレーターさんが私を安心させるように
「私共で請求させていただいておりませんので、そのメールは無視していただいて大丈夫ですよ」
と言ってくれるのを上からかぶせるように叫んだ。
「あの、キャンセルのところクリックして、そしたらAppleIDログインのページにいって、色々入力したんです!クレジットカード情報もです!情報盗まれたってことですか?」
オペレーターさんは一瞬絶句するも気をとりなおしたように
「それは正式なサイトのページではなく偽サイトと思われますので、カードについては無効にされた方が…あとApple IDのパスワードも変更いただければ」
と丁寧に説明してくれていたのであるが、すぐさまカード無効手続きの連絡をしたかったので
「あっ、すいませんカード会社に連絡するので失礼します!」
と速攻で電話を切った。(オペレータさんすみませんでした)
そしてカード会社に連絡し、状況を説明してすぐに無効にしてもらった。
偽メールから偽サイトに誘導されて、クレジットカード情報を入力してから約1時間弱がすぎていたが最後のカード使用は15日であると確認できた。不正使用はいちおう回避できたのだろう。
そして次にApple IDのパスワードを変更した。
ようやく少し落ち着いて、今この記事を書きつつ偽メールを見ているのだけど購入したitunesカードの送り先が
になっている。おそらく偽アドでしょう。カードの送り先がメールアドレスっていうのもおかしすぎる。冷静に見ると怪しさ満載の内容なのに、何故気がつかなかったんでしょうか。
日頃から自分は詐欺には騙されない、フィッシングメールに引っかかるのは当事者の不注意だと自信満々だった私ですが慢心していたらダメですね。今後のために、自己分析しておこうと思います。
まずGoogleで検索してみたらAppleを装うフィッシングメール詐欺は、ここ数年問題となっていたようです。私もチラッと聞いたことぐらいあったかもしれません。
ただ詳細の内容までは知らなかったので、とにかく怪しいメールは無視する、添付ファイルはむやみに開かない、ぐらいで対策としては充分だと考えていました。
怪しいメールを無視するなんて簡単だと思いますよね。でも今回怪しいと思う前にまんまと個人情報を偽サイトで入力してしまった。それはナゼか。
まず、メールの内容が購入した覚えのない品物の領収書で金額が11,200円だったこと。例えば
「あなたのAppleIDがロックされています」
「あなたのAppleアカウントが不正に使用されています」
という内容だったら、そんなに慌てなかったと思います。正直、AppleIDを普段からよく使用しているわけではありませんから。メールのどこかをクリックする前にApple の公式ページにアクセスしたかもしれないですし、Googleで「AppleIDがロックされた場合」なんて文言で検索かけたかもしれません。
他人が勝手に商品を購入してその請求があなたにいくよ、というメッセージを前面に出した今回のフィッシングメールは、私のような激情型の(?)人間に心理的な揺さぶりをかけるのに非常に効果的だったといえる。
「買ってもないitunesカードの代金なんて死んでも払うもんかああー!すぐにキャンセルだーうぉー!!!」
と頭に血が上った人にログインさせ、本人確認のためぜひ情報入力をと誘導するのに有効な方法だったということだ。
「この金額もらっちゃうよー」と言って冷静な人間をパニクらせるこの手法。誰が考えたのか知らないが本当に腹が立ちます。二度と騙されないようにしなければ!
電話で問い合わせた後で、Appleサポートからメールが届き下記の参考ページを紹介していただきました。まぁ騙された後なんだけど、今後のためによく読んで肝に命じておこうと思います。
フィッシングメール、ウイルス感染の偽警告、偽のサポート電話などの詐欺に遭わないようにする ⬇️
https://support.apple.com/ja-jp/HT204759
対策としてよく紹介されているのは送信元を確認することですね。この送信元のアドレスなんですが、最初から表示してくれればいいのに名前だけAPP STOREとあって右横の下向き三角印をクリックしないとメルアドが確認できないのはいかがなものか。
自分の不注意を棚に上げていうのもよくないんですが、今回のような経験をしないと大抵の人は注意してみてないと思います。
私に来た偽メールの送信元はあからさまな偽アドレス(Appleではない)ものでしたが、なかには公式のAppleメールアドレスに偽装された送信元になっているフィッシングメールもあるようです。そうなると、メールからサイトへアクセスせずに自分でApple公式サイトを開いてログインし、情報の確認をするのがいちばん確実でしょう。
もしくは私のようにAppleサポートに電話で問い合わせるとオペレーターさんに色々質問できるし説明も丁寧にしてもらえます。今回は本当に助かりました。でも話をしているうちに私が「あーっだまされて情報入れたー」となった瞬間が本当に今思い返すと恥ずかしい...
教訓: 自分は騙されない、などと考えてはいけない
誰になんと言われようとも、自分から物をサイトで購入する時以外にはクレジットカード情報は提供しない(当たりまえ・当たりまえ・当たりまえ)
6月19日追記: 実はこの後、またしてもAppleを語るフィッシング詐欺メールを受信しました! 今回はメールを読んだ瞬間に同じ手法の詐欺だとわかったのですが内容は少し違い、「あなたのApple IDがロックされているのですぐに確認を」というものでした。日本語がかなり怪しかったです。同じ犯人ではないかと考えており、マークされているようなので現在のメールアドレスは変更するつもりです。
追記2: わたしがクレジットカードについてあまりにも無知であったことが今回わかりました。情報を盗まれて使用されたら、絶対に自分が支払わないといけないと思っていたんですね。実際には不正利用されてもカード会社で保障してもらえるケースがほとんどのようです。そのためには情報をもらしてしまったり、盗まれたとわかった時点ですぐにカード会社に連絡する必要がありますが。クレジットカードの不正利用については
クレジットカードの読みもの
https://news.cardmics.com/entry/tonan-hoken-detail/
というサイトで詳しく説明されていたのが参考になりました。とても勉強になるサイトなのでもしよろしければ読んでみてくださいね。
関連記事