私は個人事業主としてECサイトを運営しています。日々のショップ運営の中で、お客様からの問い合わせや決済プラットフォーム(PayPal、Stripe、クレジットカードなど)からの通知チェックは欠かせないルーティンです。
そんな中、短期間のちにPayPal(ペイパル)を装う不審なEメールが複数通届きました。
ECサイトをやっていると、「アカウント制限」や「決済エラー」といった通知は売上に直結する死活問題です。そのため、こうしたメールを見ると一瞬「ハッ」と焦ってしまいますが、詳細を確認したところ、本物のロゴや住所を悪用した非常に巧妙なフィッシング詐欺メール(スパムメール)であることが判明しました。
今回は、実際にショップの問い合わせ窓口に届いた偽メールの文面(実例)を紹介するとともに、PayPal公式の見解や、ショップを切り盛りする事業主が本業に集中するために必須のセキュリティ対策について解説します。
【実例】実際に届いたPayPalのなりすましメール(文面と日本語訳)
ECサイトの公開アドレス(info@dauslab.com)宛てに届いたフィッシングメールの具体的な情報は以下の通りです。
差出人:Paypal support@acenatural-18851.zendesk.com(※公式のアドレスではありません)
件名:Update Required for Your Access
英語の原文
本文:
Update Required for Your Access
Hello info@dauslab.com,
We need a quick confirmation to complete a recent activity on your profile.
To avoid any delays or limitations, please take a moment to review and finish a few simple steps.
▶ Access your profile
Just follow the instructions to restore full access.
Once the process is complete, you may continue using all features as usual.
Thank you for your prompt attention.
Kind regards,
PayPal Support
PayPal
Help & Contact | Security | Apps
Twitter Instagram Facebook LinkedIn
PayPal does everything it can to protect you from fraudulent emails. PayPal will always write to you with your first and last name. How to recognize phishing emails
Please do not reply to this email. If you would like to contact us, click on Help & Contact.
Not sure why you received this email? Learn more
Copyright © 1999-2023 PayPal. All rights reserved.
PayPal (Europe) S. à r.l. et Cie, S.C.A. Société en commandite par actions. Registered office: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349
PayPal RT000417:de_DE(de-DE):1.6.0:0e7e565f7bcb4
日本語訳(翻訳)
アクセスするには更新が必要です
info@dauslab.com 様
お客様のプロフィールの最近のアクティビティを完了するために、簡単な確認が必要です。
遅延や制限を避けるため、少しお時間をいただき、簡単な手順をご確認の上、完了してください。
▶ プロフィールにアクセスする
指示に従ってフルアクセスを復元してください。
処理が完了すると、すべての機能を通常どおりご利用いただけます。
迅速なご対応に感謝いたします。
よろしくお願いいたします。
PayPal サポート
PayPal
ヘルプとお問い合わせ | セキュリティ | アプリ
Twitter Instagram Facebook LinkedIn
PayPalは、お客様を詐欺メールから保護するためにあらゆる努力を払っています。PayPalは常にお客様の氏名を使用してご連絡いたします。フィッシングメールの見分け方
このメールには返信しないでください。お問い合わせをご希望の場合は、「ヘルプとお問い合わせ」をクリックしてください。
このメールを受け取った理由がわからない場合は、こちらをご覧ください。
Copyright © 1999-2023 PayPal. All rights reserved.
一見すると公式からの重要な通知に見えますが、これは個人情報やアカウントのログイン情報を盗み取るための罠です。
PayPal公式が推奨する「偽メール・フィッシング詐欺」の見分け方
不審なメッセージが届いた際、本物のPayPalからの連絡かどうかを見分けるポイントを、公式ヘルプセンターの情報をもとにまとめました。
宛名が一般的な表現になっていないか
PayPalからの正当なEメールでは、必ず登録されているお客様の氏名(フルネーム)または事業者名が使われます。「ユーザー様」や「[メールアドレス]様」といった、誰にでも使い回せる一般的なあいさつ文が使われている場合は、詐欺の可能性が極めて高いです。
不審なリンクや偽のウェブサイトへ誘導していないか
メール内のリンクをクリックする前に、必ずリンク先のURLを確認してください。URLの上にカーソルを合わせることで、実際のリンク先が表示されます。少しでも不審な文字列が含まれている場合は、絶対にクリックしてはいけません。
不明な添付ファイルがないか
正当な理由がない限り、メールに添付されたファイル(請求書などを装ったもの)を開いてはいけません。ウイルスやマルウェアが仕込まれている危険性があります。
必要以上に不安を煽り、緊急性を求めていないか
フィッシングメールの多くは、「今すぐアカウントを更新しなければ利用停止になる」といった文言でパニックを誘います。もしアカウントの状態が本当に不安な場合は、メールのリンクは使わず、ブラウザのブックマークや公式アプリから直接PayPalにログインして「問題解決センター」などの通知を確認してください。
アカウントを持っていないのにメールが届く場合
PayPalに登録した覚えがないのに通知が届く場合、第三者がメールアドレスを誤って入力したか、意図的に他人のアドレスを使用した可能性があります。あるいは、ドメインプロバイダが再発行した古いメールアドレスを引き継いでいるケースも考えられます。不審な場合は、PayPalの専用窓口(UnsolicitedEmail@paypal.com)へ報告してください。
【不審なメールの報告先】
不審なEメールやウェブサイトを発見した場合は、該当メールを phishing@paypal.com に転送して報告し、その後受信トレイから削除してください。
偽、不正、またはフィッシングと、実際のPayPalからのeメールまたはPayPalウェブサイトとの見分け方を教えてください。
受け取ったメッセージがPayPalによるものかご不明な場合は、以下のいずれかに該当するかどうかをご確認ください。
「ユーザー様」や「[お客さまのメールアドレス]様」などの、非個人的で一般的なあいさつ文を使用している場合。弊社からのeメールでは、常にお客さまの氏名または事業者名を使用しており、「ユーザー様」や「PayPal会員の皆様」のような表現は使用しません。
偽のウェブサイトに移動するリンクをクリックするように要求している場合。クリックする前に、eメール内のリンクをご確認ください。リンクは、www.paypal.com/Specialoffersのように安全に見える場合もあります。リンクの上にカーソルを合わせて、実際のリンク先をお確かめください。ご不明な場合は、リンクをクリックしないでください。
不明な添付ファイルが含まれている場合。正当かつ安全だと判断した場合にのみ、添付ファイルを開いてください。一部の添付ファイルには、開くことによりインストールされるウイルスが含まれている場合がありますので、馴染みのない会社や業者からの請求書には特にご注意ください。
偽の緊急性を煽る内容が含まれている場合。ほとんどのフィッシングメールには、ただちにアカウントを更新するよう警告する内容が含まれています。これは、緊急であることにお客さまが気を取られ、偽メールだと気付かずに操作することを目的としています。アカウントに関する手順を緊急に完了する必要がある場合は、PayPalにログインしてこの情報を確認することができます。
不正行為者がなりすましeメールを使用する一般的な詐欺には、以下のものがあります。· 「お客さまのアカウントは一時停止されようとしています。」
多くの不正行為者は、お客さまのアカウントが一時停止されることを警告するなりすましeメールを送信します。eメールには、(なりすまし)ウェブページでのパスワードの入力を求める内容が記載されています。弊社がお客さまにパスワードの入力を求めるのは、弊社のログインページ上のみです。受け取ったeメールがなりすましかどうか疑わしい場合は、PayPalにログインして、[問題解決センター]で通知をご確認ください。· 「支払いを受け取りました。」
不正行為者によっては、お客さまが注文に対する支払いを受け取ったと錯覚させるようなeメールを送信する場合があります。これは、お客さまが販売している商品を無料で手に入れることを目的としています。商品を発送する前に、PayPalにログインして、実際に支払いを受け取っていることをご確認ください。また、弊社が追跡番号をeメールで共有するようお願いすることはありません。実際に支払いを受け取った場合は、常にPayPalの[取引履歴]でご確認いただけます。· 「受け取った支払いが多すぎます。」
不正行為者は、商品代金の過払いがあったと錯覚させるようなeメールを送信する場合があります。例えば、300.00米ドルで販売されていたカメラに対して500.00米ドルが支払われたなどです。このような場合、お客さまが誤って受け取ったとされる追加の200.00米ドルに加えて、カメラを発送するよう支払い元から依頼されます。つまり不正行為者は、実際には支払いを行っていないにもかかわらず、お客さまからカメラと支払いを騙し取ろうしています。商品を発送する前に、PayPalにログインして、支払いを受け取っていることをご確認ください。不審なeメールまたはウェブサイトの報告をご希望の場合は、eメールをphishing@paypal.comに転送してください。送信後は、お客さまの受信トレイからeメールを削除してください。
オンラインの安全性についての詳細は、[セキュリティセンター]でご確認ください。
アカウントを持っていないのにPayPalからeメールまたはSMSが届くのはなぜですか?
お客さまが弊社からのeメールを受信している理由には、第三者がお客さまのメールアドレスでPayPalアカウントに登録したことが考えられ、新規登録時にメールアドレスを間違えて入力した、または意図的に自分のものではないメールアドレスを使用した可能性があります。
または、GmailやHotmailなどのドメインプロバイダが、お客さまのメールアドレスを再利用している可能性もあります。お客さまがしばらくの間eメールアカウントを使用されていなかった場合、ドメインプロバイダはメールアドレス再発行し、他の人が使用できるようにすることができます。
受け取ったメッセージがPayPalによるものか不明な場合は、この動画で紹介されている注意項目をご確認ください。
PayPalアカウントをお持ちでないにもかかわらず、PayPalからのeメールを受信している場合は、UnsolicitedEmail@paypal.comまでeメールでお問い合わせください。
以下のことを行っていただく必要があります。
PayPalからのeメールを受信しているメールアドレスを使用して、eメールでお問い合わせください
PayPalアカウントをお持ちでないこと、およびPayPalシステムからのメールアドレスの削除を希望していることを認める文言を含めてください
UnsolicitedEmail@paypal.comのアドレスを経由して、一般的なアカウントに関する質問やお問い合わせに返信することはできませんのでご了承ください。PayPalアカウントを持っていないにも関わらず、ログインを試行したことを示すSMSが届いた場合は、メッセージを無視してください。電話番号に無作為に送信されたフィッシングである可能性があります。
PayPalアカウントをお持ちで、ログインの試行に関するメッセージが届いたものの実際にはログインを試行していない場合は、何者かがお客さまのパスワードを所持していることを示しています。
アカウントで2要素認証が設定されている状態でログインの試行が行われると、ログインしていることを確認するSMSが送信されます。SMSは、729725または72975などの番号のいずれかから送信されます。
この2要素認証の手順は、アカウントにアクセスする前に完了する必要があります。ログインを試行していないのにこのSMSを受信した場合は、PayPalアカウントにログインしてすぐにパスワードを変更することをお勧めします。
ネットに潜む多種多様な詐欺リスクと被害を防ぐセキュリティ対策
結論として、これらはすべて実在する大手企業を騙り、個人情報やクレジットカード情報を盗み出すこと、あるいは不正な金銭支払いを要求することを目的とした「フィッシング詐欺メール(スパムメール)」です。
現在、ネット上にはこうしたフィッシング詐欺だけでなく、画面に嘘の警告を出して電子マネーを騙し取る「サポート詐欺」、極端な安値で釣る「ネットショッピング詐欺」、恐怖心につけ込む「セクストーション(性的脅迫)スパム」など、無数の罠が仕掛けられています。
日頃から「怪しい日本語を疑う」「URLを確認する」といった意識を持つことは大切ですが、昨今の詐欺手口は人間の目だけで100%見抜くのは限界に近い状態です。星の数ほどある脅威から大切な資産と個人情報を守るためには、「システム側で自動的にブロックする環境」を整えておくのが最も賢明な選択と言えます。
現在、新種の詐欺サイトやウイルスにも迅速かつリアルタイムに対応できる、おすすめのセキュリティ対策を厳選しました。
総合セキュリティソフト(マルウェア・ウイルス対策)
ウイルスバスタークラウド
日本シェアNo.1のウイルスバスタークラウド
- 第三者機関によるテスト対象製品中トップの防御力
- パソコンやスマートフォン、タブレットに好きな組み合わせで、3台までインストールできます。Windows、Mac、Android、iOS、Kindle Fireシリーズに対応。
- ダウンロード3年版 3台まで
ESETセキュリティソフト
とにかく安くしたい方はESETセキュリティソフト一択。初めてのセキュリティソフトならコスパ最強のESETセキュリティソフトですね。ダウンロード 3年版 5台までで最安です。
- とにかく動作が軽快で、PCやスマホの動きを邪魔しない
- 未知のウイルスを検出するヒューリスティック技術に定評あり
- 「セキュリティソフトを入れると端末が重くなるのが嫌だ」という方に最も選ばれています。
ノートン 360
そうは言っても世界最強クラスがいい方には定番のセキュリティソフト ノートン 360 という選択肢もあります。お高いイメージがありますが、実は、ダウンロード 3年版 3台まででウイルスバスタークラウドとほとんど変わりません。
- 世界シェアトップクラスの信頼性と世界規模の監視ネットワーク
- 万が一ウイルスに感染した場合の「ウイルス駆除保証」付き
- 強力なマルウェア対策に加え、Webカメラの乗っ取り防止機能やパスワード管理機能も標準装備。
VPNサービス(通信の暗号化・フリーWi-Fi対策)
VPN(仮想プライベートネットワーク)は、インターネット上に暗号化された専用の「トンネル」を作り、通信を保護する技術です。公共Wi-Fiの盗聴防止や、プライバシー保護に最適です。
NordVPN
NordVPNは、ネット上に暗号化された専用の「セキュアなトンネル」を構築し、あなたの大切なデータを保護します。接続時にVPNサーバがあなたのデバイスを安全に認証した上で、高度な暗号化プロトコルを適用。インターネットバンキングや動画サイト、検索エンジンとの間を行き来するすべての情報を暗号化し、誰にも監視・傍受できない強固なセキュリティ空間を作り出します。
- 軍隊レベルの暗号化技術で、通信の中身を完全に保護
- カフェや駅などの危険な「フリーWi-Fi」利用時の必須ツール
- 外出先で楽天やAmazon、オンラインバンキングにログインする際のデータ盗聴を100%シャットアウトします。
Surfshark
マルウェアとフィッシングを回避する【SurfShark】は、世界第3位の人気を誇り、サイバーセキュリティ業界において最も急成長しているVPNサービスです。
ユーザーのIPアドレスを変更し、デバイスのダウンロードやアップロードされたデータを暗号化し、安全なトンネルを介して送信します。CleanWeb機能は、ウィルス、ターゲット広告、悪意のあるウェブサイト、不要なバナーからユーザーを保護します。
- 完全無制限!1つのアカウントでデバイスを何台でも同時接続可能
- 公共のWi-Fiをよく使う人にも最適
- Windows、Mac、iOS、Androidに加え、Amazon Fire TVなどあらゆるプラットフォームに対応
ビジネスや組織における「リスクマネジメント」との共通点
フィッシング詐欺の他にも、サポート詐欺、ネットショッピング詐欺など、世の中は詐欺だらけです。ご用心、ご用心。
ネット社会を生きる上で、こうした外部からの見えないリスクを予見し、自分や家族の資産をディフェンスしていく意識は、ビジネスにおける「リスクマネジメント」や組織の「ガバナンス」と全く同じ構造です。想定されるリスクに対して、感情的にパニックになるのではなく、あらかじめ決めておいた「仕組みと規律」で淡々と処理していくスタンスこそが、最も強固な防御壁になります。
私は長年ボードメンバーを務めた小売業の後任のために作成した、本物の「組織統治・リスク管理の引継ぎ書」をそのままブログで公開しています。
個人事業主や40代からの起業で、理不尽なトラブルや外部からの攻撃に負けない強い組織の仕組みを作りたい方は、ぜひこちらの【40代からの起業】現場を動かす経営理論:第1講|王様と犬の組織をハックする「視座・視野・視点」も合わせてお読みください。
まとめ:正しい知識とツールを味方に、安全なデジタルライフを
インターネットやオンライン決済を便利に利用する以上、フィッシング詐欺のリスクを完全にゼロにすることはできません。
しかし、「怪しいリンクは開かない」という最低限の知識を持ち、巧妙な詐欺サイトを自動で遮断してくれるセキュリティツールを適切に導入することで、被害に遭う確率を限りなく低くすることができます。
正しい自己防衛を身につけ、安心・安全なデジタルライフを送りましょう。
ご用心、ご用心。