フィッシングとは

フィッシングの仕組みと特徴

フィッシングとは、様々な理由を付けて偽のページにログインさせ、個人情報(My AlibabaのメンバーIDとパスワード、メールアドレスとパスワードなど)を盗み取ろうとする詐欺の手口です。フィッシングを仕掛ける悪意のあるユーザーは、巧妙な手口を使って個人情報を盗み出そうとします。あるいは、架空のサイト上で支払いをさせ、お金を騙し取ろうとします。ここでは、フィッシングの仕組みと特徴をご説明します。

フィッシングの仕組み

phishing-01.png

大部分のフィッシングは、メール・メッセージを本物のメール・メッセージと思わせ、メール・メッセージ内リンクから偽ページに誘導し、個人情報を入力させることを目的に送信されます。フィッシングメール・メッセージはそれを受け取っただけではフィッシング詐欺の被害にあうことはありません。メール・メッセージ内のリンクから偽ページを開き個人情報を入力しない限り問題になることはありません。

フィッシングメール・ウェブサイトの特徴

  • 偽のメールアドレス

悪意のあるユーザーは、一般的に偽のメールアドレスを使用してメール・メッセージを送信します。この偽のメールアドレスには、tradealert@service.alibaba.comなどAlibaba.comのドメインが使用されている場合があります。メールのFromアドレスは簡単に詐称できてしまいます。ご注意ください。

  • メールの最初にあなたの名前が明記されていない

多くのフィッシングメール・メッセージは "Dear Alibaba Member" や "Dear Alibaba User" などあなたの個人名が記載されていない文章で始まります。Alibaba.comからのメールには "Dear Taro" のようにファーストネームを記載しています。

  • アカウント停止など緊急性を強調した内容

典型的なフィッシングメール・メッセージに、アカウントが停止されたので、アカウント再開のためにメンバーIDやパスワード、クレジットカード情報を教えるように連絡してくるものがあります。すぐに対応しない場合は、アカウントを停止するなど脅すような内容が含まれています。Alibaba.comからは前述のような個人情報をメールで確認するようなことは行いません。ご注意ください。

  • 偽のウェブサイト

大部分のフィッシングメール・メッセージには会員の個人情報を入力させるような、Alibaba.comのデザインに似せた偽のウェブサイトに誘導するリンクが含まれています。Alibaba.comが個人情報を入力させる場合は、Alibaba.comのサイト(www.alibaba.com または www.aliexpress.com)へご案内しますので、ご注意ください。

  • 偽のフィードバックフォーム

多くのフィッシングメール・メッセージはリンクをクリックさせてAlibaba.comのデザインに似せた入力欄に個人情報を入力させようとします。デザインが似ているからといって安易に個人情報を入力しないようご注意ください。

  • Alibaba.com利用規約に言及する

悪意のあるユーザーは常に正当性を表現するためにAlibaba.comの利用規約に言及します。ご不明な点がありましたら、担当もしくはwp_customer@alibaba-inc.jpまでお問合せください。

  • Alibaba.comを名乗る

正当性を表現するために、悪意のあるユーザーはAlibaba.comの署名を使います。受け取った電子メールが本物かどうか不明な場合は、担当もしくはwp_customer@alibaba-inc.jpまでお問合せください。

Alibaba.comを名乗って電話をかけてくる手口があります。
不審な電話やメールがあった場合は、担当もしくはwp_customer@alibaba-inc.jpまでお問合せください。

フィッシングの見分け方

受信したメール・メッセージがフィッシングかどうかを判断する方法をご説明します。送信者がAlibaba.comを名乗っているかどうかによって見分け方が異なりますのでご注意ください。

送信者がAlibaba.comを名乗っている場合 リンク先アドレスがAlibaba.comのページかどうかを確認する
送信者が上記以外の場合
(バイヤーからの問合せの場合)
リンク先ページを確認する

送信者がAlibaba.comを名乗っている場合

送信元情報(Fromアドレスやメッセージプロフィール)は詐称できるため、送信元アドレスがAlibaba.comと思われるメールアドレスやアカウント(@alibaba.com、@service.alibaba.comなど)だからといってフィッシングではないと判断できません。リンク先アドレスを見てフィッシングかどうかを判断し、不用意にリンク先の偽ページに個人情報を入力しないようにしてください。

実際のフィッシングメールを例にして確認方法をご説明します。

  1. 送信者がAlibaba.comを名乗っていることを確認し、次にメール内リンクのURLを確認します。マウスをリンクの上に移動させてブラウザのステータスバーに表示されるURLを目視確認します。

目視確認が難しい場合はマウスをリンクの上に移動し、右クリック-[プロパティ]でアドレス(URL)を確認してください。

上記のメールではFromアドレスが feedback@service.alibaba.com ですが、これは詐称されたメールアドレスです。Fromアドレスは簡単に詐称されてしまうことをご注意ください。

  1. 1.で確認できたアドレスのドメインがAlibaba.com関連ドメイン(赤字部分)であることを確認します。ドメインは詐称することが難しいため信頼することができます。

ドメイン 説明
alibaba.com Alibaba.comサイト
aliexpress.com Aliexpressサイト
【例】アドレスと判定結果

アドレスにalibabaという文字が含まれているがドメイン(赤字部分)がAlibaba.com関連ドメインではない

一見、alibaba.comと見間違うが、よくみるとalibba.comは別のドメインで、アリババ関連ドメインではない

問題なし

リンク先のサイトがAlibaba.comのページデザインを模したものである場合が多く、見た目では疑わしいページを見分けることができません。リンク先のアドレスを必ずご確認ください。
 

phishing-05.png

送信者がAlibaba.comを名乗っていない場合

メール・メッセージの内容をご確認ください。内容だけでは疑わしさが判断できない際はリンク先ページをご確認ください。
リンク先ページがAlibaba.comのログインページのデザインを模している場合は、フィッシングメール・メッセージとご判断ください。バイヤーから連絡を受けるページでAlibaba.comのログインを求められることはありません。メンバーIDとパスワードを入力せず、ページを閉じてください。

その他、リンク先ページがGoogle、Yahoo、Facebookなどのログインページを模したケースも報告されています。説明もなくメンバーID、メールアドレス、パスワードなどを求められるページは、フィッシングの可能性が高いため、情報を入力せず、ページを閉じてください。

フィッシングメール・メッセージとは異なりますが、メール内リンクの接続先にウィルスファイルを配置しておき、リンクをクリックさせることでウィルスファイルをダウンロードさせようとするウィルスメールも存在します。セキュリティソフトなどを導入の上、不正なファイルをダウンロードしないようご注意ください。

フィッシングの対処

偽ページに個人情報を入力してしまったなどフィッシングメール・メッセージに騙された可能性がある場合の対処方法をご説明します。詳細はアカウントハッキングをご参照ください。

Alibaba.comへフィッシングメール・メッセージを報告する

フィッシングメール・メッセージを受け取った場合、Complaint Centerからフィッシングの報告をすることができます。プラットフォームの安全性を保つために、ご協力をお願いします。

  1.  Complaint Centerにアクセスします。

  1.  「Other」タブをクリックします。

  1. 「Report Phishing」の「Report」をクリックします。

phishing-07-388x362.png

  1. 以下の項目を入力し、「Submit」ボタンをクリックします。

  • Their Email or Member ID: 相手先のメールアドレス、またはメンバーIDを入力します。

  • Description: 詳細を入力します。(英語のみ、4000文字)

  • Communication Records: 受け取ったメール、TradeManagerのメッセージなどをアップロードしてください。(複数ファイルの場合は1ファイルにまとめてください)