やられました。。。Microsoft Edgeクイックリンク機能でフィッシング詐欺に遭う

［PR］本ページはプロモーションが含まれています。

はじめに

不審なメール内のリンク(URL)をクリックした経験はありませんか？

お恥ずかしながら先日、人生初のフィッシング詐欺被害にあってしまいました。。。

私は日頃から不用品等の処分に『メルカリ』を利用していますが、今回パソコンからログインする際にIDとパスワードをフィッシングサイトに入力してしまいました。その結果、アカウントが乗っ取られてしまい20数万円もの身に覚えのない買い物をされてしまいました。最終的にはメルカリ事務局さんが保証してくれましたので、金額的な被害は回避することが出来ました。

日頃からこの手の詐欺には十分な注意を払っていましたが、使用していたパソコンブラウザの機能に思わぬ落とし穴があり、騙されたというよりも自身の無知が招いた結果となってしまいました。同様の被害者が今後出て欲しくないので、今回私が経験した苦い経験をご紹介させて頂ければと思います。

ひとたび当事者となれば不安な日々を過ごし、また多くの時間を費やすことになります。そうなる前に、少しずつ対策を講じられることを是非お勧めします。

メルカリを装った不審なメール・ウェブサイトにご注意ください

メルカリとそっくりな偽サイト（フィッシングサイト）に誘導する不正メール・ショートメッセージ（SMS）に対する注意点や対策を発信しています。

about.mercari.com

フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 緊急情報 | メルカリをかたるフィッシング (2024/01/22)

フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動を行っております。

www.antiphishing.jp

メルカリがフィッシング詐欺に注意喚起、アプリの利用など推奨（ScanNetSecurity） - Yahoo!ニュース

株式会社メルカリは1月25日、同社と郵便局が連携した配送サービス「メルカリびより」サイトにおいて、「メルカリ・メルペイを装ったWebサイトによるフィッシング詐欺について」とする注意喚起を発表した。

news.yahoo.co.jp

メルカリ、クレカ不正利用とフィッシング詐欺の補償額は32億円に　対策強化で正常化見込む

メルカリは、クレジットカードの不正利用とフィッシング詐欺の影響で、2022年1月から6月までの半年間で32億円を補償したと発表した。

www.itmedia.co.jp

メルカリサービス

フリーマーケットアプリ

既にご利用されている方も多いと思いますが、『メルカリ』とは不用品などの売買が可能なフリマアプリです。利用者も多く即決価格で売買されるため、「欲しいと思えば直ぐに購入できる」という大きなメリットがあります。またスマホで気軽に利用できる点も利用者が多く人気の理由の様です。

バーコード・QRコード決済が可能

『メルカリアプリ』の大きな特徴として、『メルペイ』と呼ばれる『PayPay』や『楽天pay』と同様の支払機能が装備されている点が挙げられます。またフリマでの売上金利用に『メルペイ』を利用されている方も多いのではないでしょうか。

加えて『メルペイ』には『あと払い』と呼ばれる支払方法があり、一定条件を満たすと自動で付加されます。『あと払い』とは『メルペイ』のクレジットカード機能のようなもので、最大30万円までの利用可能で、その支払いについては後日清算や分割払いを選択することが可能です。

実は今回、私はこの『メルペイ／あと払い』機能を悪用され20数万円もの買い物をされてしまったのです。あとで調べてみると私以外にも多くの方が同じ被害に遭われているようで、またその被害額も多くメルカリさんも頭を痛めているようですね。

メルカリ、クレカ不正利用とフィッシング詐欺の補償額は32億円に　対策強化で正常化見込む

メルカリは、クレジットカードの不正利用とフィッシング詐欺の影響で、2022年1月から6月までの半年間で32億円を補償したと発表した。

www.itmedia.co.jp

 

 

今回の詐欺被害手口

フリマアプリ『メルカリ』ログイン方法

私が被害に遭ったときは生体認証「パスコード」を利用していなかったので、ログインの際にはID(登録しているメールアドレス)とパスワード、それに認証番号(登録している携帯電話へのSMSで通知)を利用してログインしていました。一応、二段階認証ログインとなっていましたが、今となっては何の意味もありませんでした。

フリマアプリ「メルカリ」、パスワード不要な生体認証「パスキー」に対応

〜パスワードを使わず、自分の顔や指紋で認証が可能に〜 株式会社メルカリは、フリマアプリ「メルカリ」にパスワードレスの生体認証機能である「パスキー」の導入※1をお知らせいたします。この機能により、お客さまはより安全性の高い認証方法を利用できる...

about.mercari.com

適切なログイン

[利用者が正規ページ①(アプリや公式HPのログインボタンを利用)を表示]
⇓
[利用者が正規ページ②にIDとパスワードを入力]
[続いて表示される正規ページ③に認証番号入力を促す表示がされる]
⇓
[メルカリより認証番号を受信(登録電話番号)]
⇓
[利用者が正規ページ③に認証番号を入力しログイン完了]

被害に遭ったログイン(推測される方法)

[利用者がメールなどに記載されたリンクをクリック]
[第三者が作成した偽ページ①が表示]
[利用者が偽ページ①にIDとパスワードを入力]
[続いて表示される偽ページ②に認証番号入力を促す表示される]
⇓
[第三者が正規ページ②にIDとパスワードを入力]
[続いて表示される正規ページ③に認証番号入力を促す表示がされる]
※ 利用者と同時進行で実施しIDとパスワードの有効性を確認
⇓
[メルカリより認証番号を受信(登録電話番号)]
⇓
[利用者が偽ページ②に認証番号を入力]
[正規ページ①が表示される(ログインされていない状態)]
⇓
[第三者が正規ページ③に認証番号を入力しログイン完了]
※ メルカリアプリは複数台への同時ログインが可能
[第三者によって利用者に通知が来ないよう設定が変更される]
※ 利用者へのアプリプッシュ通知・メールへの通知が来なくなる

Microsoft Edge クイックリンク機能に注意！

Windowsに標準で装備されているWebブラウザ『Microsoft Edge』のクイックリンク機能の利用については注意が必要です。クイックリンクとは、デフォルトのトップページ検索窓下に表示されているリンクアイコンのことです。利用者自らがURLを登録させ利用する機能の他に、Webブラウザの表示履歴から自動生成させる機能が備えられています。

私はこのクイックリンクは「表示履歴から自動でリンクアイコンが生成」という機能を理解していなかったのです。ここが今回の被害を引き起こしてしまった最大の落とし穴だったのです。とうか、無知過ぎたのです。

時折り受信していた不審メール内のリンクを、疑いの目を持ちながらも“ひょっとして”という思いからクリックしてWebページを表示させていました。その履歴が一定量となったことで、このクイックリンク自動生成機能が働き、当該箇所にリンクボタンが出現してしまったのです。

そして今回、迷わずこれをクリックして表示されたフィッシングサイトに、何ら疑いの目を持つことなくIDとパスワード、それに認証番号まで入力してしまったのです。

クイックリンク機能はとても便利な機能ですが、私のように正しくその機能を理解できていない利用者の方は、この表示機能をOFFにされておくことをお勧めします。

クイックリンク表示OFF設定方法

1. 検索窓右端の『歯車マーク』をクリック
   
2. ページ設定『クイックリンク』の『▽』をクリックして『OFF』を選択
   
3. これでブラウザにクイックリンクアイコンの表示が消えます。

この機能について理解をしていなかったため、今回のフィッシング詐欺被害に遭ってしまいました。よく理解できていないのに安易にクリックしてしまった、完全な私の不注意でした。。。

【Edgeのトップページ】検索窓下の履歴を非表示にする方法を紹介します。

履歴の右にある「・・・」から、非表示にすることができます。

mypigchan.com

日頃の備えが重要

生体認証ログインを設定

今回の経験を踏まえ、生体認証「パスコード」ログインに対応しているアプリやwebサイト、また各種サービスについてはこれを利用されることを強くお勧めします。しかしまだ多くのサービスは、IDとパスワードに加えて認証コード(ワンタイムパスワード的な情報)を利用したログイン方法が多いのが現状です。

『メルカリアプリ』は既に生体認証「パスコード」に対応しています。ログインの際に指紋や顔認証などの生体情報を用いることで、セキュリティの強化を図ることが可能です。私は今回の被害に遭ってからこの機能の存在を理解しました。。。

フリマアプリ「メルカリ」、パスワード不要な生体認証「パスキー」に対応

〜パスワードを使わず、自分の顔や指紋で認証が可能に〜 株式会社メルカリは、フリマアプリ「メルカリ」にパスワードレスの生体認証機能である「パスキー」の導入※1をお知らせいたします。この機能により、お客さまはより安全性の高い認証方法を利用できる...

about.mercari.com

他サービスとのパスワード非共有

現在では様々なサービスを受ける際に、希望IDの登録と希望パスワードの登録が必須となってきています。その管理が面倒だからといって、同じIDとパスワードを使いまわしてしまうと、万が一これが漏洩した際に様々なところで悪用される危険性があります。

特にgoogleアカウントには『パスワード マネージャー』と呼ばれる機能があり、利用しているサービスのIDとパスワード情報が記録管理されてます。初回ログイン時にIDとパスワードを入力するとそれが記録され、次回以降便利に利用できる機能です。

もしもgoolgeアカウントが乗っ取られてしまうと、この『パスワードマネージャー』に記録されている全てのIDとパスワードの全てが漏洩したのと同じ状態となります。既にgoogleでは生体認証「パスキー」に対応していますので、是非この機会にご利用を検討されると良いでしょう。

今回の被害を受けるまで私はこの機能の存在を理解していませんでした。ですが『他サイトでIDやパスワードの共有をしていなかった』ため、googleアカウントが乗っ取られるという二次被害を防ぐことが出来ました。

下記にご参考頂ける外部記事のリンクをご紹介しますので、是非ご参考頂ければと思います。

Google アカウントのパスキーの作成

Google アカウントのパスキーは簡単に作成できます。パスキーがあれば、必要なのは指紋認証、顔認証、または画面ロックだけです。パスワードなしで安全にログインできます。

www.google.com

Googleがパスワード不要でログインできる「パスキー」に対応したのでiPhoneとAndroidスマホで試してみた

「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。新たにGoogleのログインシステムがパスキーに対応してパスワ...

gigazine.net

常に最新のフィッシングサイトに関する情報を入手

フィッシング詐欺被害に遭わないためには、最新の手口に関する情報や知識も必要です。『フィッシング対策協議会』ではフィッシング詐欺に関する最新情報や、被害手口などの通報が可能となっています。

「あれ？」

「何だかこれっておかしいぞ？」

と感じるためにも、最新の情報を正しく理解しておきましょう。

フィッシング対策協議会　Council of Anti-Phishing Japan

フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動を行っております。

www.antiphishing.jp

今回の詐欺被害に対する私の反省点

自身は詐欺被害に遭わないという根拠のない自負があった

テレビやネットでもよく耳にしていた「フィッシングサイト」による詐欺被害。私にも毎日のように不審なメールがあり、「あぁ～、これに騙される人がいるんだ」なんて思っていました。しかし今回のように、不審なメールからではなくブラウザ機能によって誘導されてしまうとは考えてもいませんでした。

生体認証「パスコード」設定が面倒で利用していなかった

生体認証「パスコード」利用におけるセキュリティ面のメリットをよく理解せず、「今は何も起きていないから、そのうちやろう」と考え、後回しにしてしまったことも反省点です。新たなセキュリティ機能登場の裏側には多くの被害者の存在があり、同じ過ちを繰り返さないための機能であることを認識して、今後は積極的に設定していきたいです。

パスワードを他サービスと共有していなくて良かった

パスワードを他サービスと共有する危険性については十分認識していましたので、これに関する二次被害が発生しなくて本当に良かったです。またIDとパスワードの管理方法についてもパソコンやアプリで管理するのではなく、アナログで管理していた点が功を奏したようです。

私は過去に2度ほどクレジットカード被害を受けたことがあります。今回で3回目となりましたが、これって多い方ですよね？

最後に。。。

現在、今回のフィッシング詐欺被害や、これまでのメルカリでの取引における注意点などを纏めた電子書籍を執筆中です。私のような被害に遭わないためにも、是非ご参考頂ければと思います。

なお、出版致しましたら再度ご報告させて頂きますので、どうぞよろしくお願いします。