週刊でお伝えしている迷惑メール(主にフィッシング)のご紹介です。
前記事に続き 証券会社関連で SBI証券 2パターンです。
SBI証券はソフトバンク系の証券会社で、楽天証券とトップを競う「ネット専業証券の二強」。
2025年7月初旬現在、私のもとに届く証券会社系フィッシングはSBI証券がダントツの多さです。
フィッシングメールとは
フィッシングは金融機関やネット通販サイトなど有名企業を装ったメールを送り、偽サイトに誘導させる犯罪です。
メール内にあるリンクをクリックすると本物そっくりに作られたログイン画面が表示され、そこにアカウントやパスワード、クレジットカード情報などの個人情報を入力させることで、金銭を盗み取ることが目的です。
特に、証券会社各社では今年に入ってからの証券口座乗っ取り被害が相次ぎ、4月以降セキュリティ対策強化に動き出しました。
キーワードとして「二段階認証」「多要素認証」「FIDO(スマートフォン認証)」
これらの手続きがほとんどの証券会社で義務化されています。
フィッシングメールもこの言葉を含めて本物を装って届きますので、一層の注意が必要です。
今週のフィッシングメール事例
送信元:SBI証券 <service@fmeeef.com>
【重要】電話番号での認証義務化と本人確認のお願い
【重要】電話番号認証の強制適用とご本人確認のお願い
平素よりSBI証券をご利用いただき、誠にありがとうございます。
弊社では、近年の不正アクセス増加および個人情報漏洩事案を受け、お客様の大切な資産ならびに個人情報を保護する取り組みを強化しております。その一環として、2025年6月30日(月)より多要素認証の適用をすべてのお客様に対して義務化いたしました。
特に、FIDO(スマートフォン認証)をご登録いただいていないお客様に対しては、セキュリティ確保の観点から、電話番号認証によるログイン確認を強制適用させていただいております。この認証は、実際にお客様が使用されている端末・環境からのアクセスであることを当社が正しく判定するために不可欠なプロセスです。
現時点で、お客様のアカウントは電話番号認証を介したアクセスが必要な状態ですが、認証プロセスの一部に未完了の項目がございます。つきましては、下記リンクよりご本人確認の最終ステップを完了いただきますようお願い申し上げます。
ご本人確認手続きへ進む (←偽のリンク)
この手続きにより、以下のようなメリットが得られます:
• 第三者によるなりすましログインの防止
• 不審な操作に対する即時検知と対応
• お客様ご自身によるアクセス証明の確立
• 取引・出金時のセキュリティレベル向上
• 24時間365日の資産保護体制の強化
ご注意事項
• メール内のリンクは必ずから始まる公式URLであることをご確認ください。
• 当社がパスワードや取引暗証番号をメールや電話でお尋ねすることは一切ございません。
• 不審なメール・SMS・電話を受け取られた場合は、削除のうえ下記窓口までご連絡ください。
お問い合わせ先 SBI証券カスタマーサービスセンター(セキュリティ専用窓口)
メールの内容としては完成度が高く、フィッシングとの見分けがつきにくいメール。
メールの内容が難解すぎて無視(放置)するか、ネットなどで調べつつ自力でなんとか頑張ろうとするかのどちらかですが、このメールの場合は放置した人が「正解」。
メール内にある手続きへのリンクがフィッシングの特徴です。
内容はほぼ同じでタイトルが異なるメールもありました。
・【SBI証券】認証制度変更に関する重要なお知らせ
送信元:Report <s.h31008.i@softbank.jp>
【重要SBI】システムアップグレードに伴うアカウント再認証のご案内
SBI証券ご利用のお客様
平素よりSBI証券をご愛顧いただき、誠にありがとうございます。
このたび、当社ではセキュリティ強化およびサービス品質向上のため、 下記日時にシステムアップグレードを実施いたします。
――――――――――――――――――
■アップグレード実施日時
2025年6月20日(土) 02:00 ~ 06:00(JST) ――――――――――――――――――
つきましては、アップグレード完了後にお客様のアカウントを再認証いただく必要がございます。
再認証が完了していない場合、ログインおよび取引機能が一時的にご利用いただけなくなりますので、 お手数ですが下記の「アカウント再認証ページ」よりお手続きくださいますようお願いいたします。
▼アカウント再認証ページ(スマートフォン推奨)
https://s-b-i-services.iptv01.com (←偽のリンク)
【再認証期限】:2025年6月20日(日) 23:59(JST)
※本メールは送信専用です。ご返信いただいても対応いたしかねます。
※ご不明な点は公式サイト「お問い合わせ」ページをご確認ください。
お客様の大切な資産をお守りするための重要な対応となりますので、 何卒ご理解とご協力を賜りますようお願い申し上げます。
1通目のものに比べるとシンプル。
さらに時間制限が迫っているので「すぐに手続きしよう」と思わせる内容です。
表記されているリンクアドレスもSBIという文字を含めて信用させやすいつくりになっていますがもちろん偽物です。
SBI証券をかたったメールとしてはこちらの記事でもご紹介しています。
今週のその他のフィッシングメール
2025/6/22-6/28に受信したメールのタイトル
- Apple 支払い方法の更新が必要です
- 【ご案内】JAネットバンクからのお知らせ
- 重要なお知らせ:未加算マイルについて(ANAマイレージクラブ事務局)
- 佐川急便-配送情報のご案内
フィッシングメールの標的になる企業の対応は?
これはあくまでも私の疑問ですが・・・
フィッシングメールが出回り、偽のリンク先(フィッシングサイト)とは思わずログイン情報など個人情報を入力して被害に遭ってしまう方もいます。
この偽のリンク先は、メールが出回って数日で潰される(リンクが開かない)こともあれば、1週間たっても開くなんていうことがあります。
この対応の違いはなんなんでしょうか?
名前をかたられてしまった企業が、自社あるいは専門の会社に依頼しているのだとは思いますが、その程度というものにばらつきが見られます。
対応のスピードもですが、その後フィッシングメールそのものもパタリと見かけなくなった企業もあります。
企業の対応の成果か、メールをばらまいても「稼げない」からやめたのかはわかりませんけど・・・
企業の責任ではありませんが、被害者が出ることで(ニュースで報道され)企業イメージにも影響がでます。
有名企業ゆえの費用負担も発生するとは思いますが、各社には迅速な対応をお願いしたいものです。
フィッシングメールか判断できない時の対応
取引のない金融機関やサービスならは無視。
一方で、実際に利用している企業名で届くと真偽の判断が難しいこともあります。
当ブログで何度もしつこく注意喚起しておりますが
メール内のリンクはクリックしない
証券会社などでは、2025年以降メール内にリンクを貼らない方針をとっています。
リンクがあるメールはひとまず疑いましょう。
確認したい場合は、スマホならアプリを使用。(生体認証や二段階認証必須)
パソコンの場合は、ブックマーク(お気に入り)にあらかじめ登録した公式サイトから。(こちらも今後は二段階認証が必須の動き)
■迷惑メール三原則■(迷惑メール相談センター by.日本データ通信協会)
①メールを開かない
②リンクをタップしない
③個人情報を入力しない
