こんにちは、ritouです。
こんな記事を見かけました。
Amazonをかたるフィッシングが報告全体の35.8%を占め、特にSMSによるものが多かった。同協議会では、SMSではメールよりも本物と誤解したり、ついアクセスしたりしやすいため、注意が必要だとしている。
Amazonでなんでもポチれる時代にこれは切ない事態です。 今回はその Amazonから送られてくるセキュリティ関連の通知の仕様がよろしくないのでなんとかして欲しいというお話 をちょっとだけします。
セキュリティ通知
中の人じゃないので細かい仕様を全て把握できているわけではありませんが、例えばログインの設定をいじろうとしたときなどにこんな画面が表示されます。
SMSとメールで通知を送ったので確認しろという内容です。
その下の謎の申請ってのはもしかしたらアプリへの通知かもしれませんが、昔いろいろあって今はアプリを入れてないのでSMSとメールを見てみます。
そして送られてきた内容を見てみましょう。
左がSMSです。
- 送信元の検証が困難すぎぃ
- URLを送ってくるUXが存在することでフィッシングにかかりやすくなる
- URLつけたら届かないとかいう都市伝説も昔からある気がする
と言った観点からもSMSでリンクを送るのはよろしくないでしょう。
こんなことやってるから "Amazonをかたるフィッシングが報告全体の35.8%を占め、特にSMSによるものが多かった。" なんて言われてしまうのです。
右のメールの方も、
このEメールがAmazonから送信されていることを確認するにはどうすればよいですか? このEメールのリンクは「https://www.amazon.co.jp」で始まります。以下のリンクをいつでもブラウザに貼り付けて表示できます。
とか書いてあってなんとなく厳しい感じが伝わってきます。
URLの検証が困難なので個人的には避けたいところですがメールでURL送信は長い長い歴史があるので難しいところですね。
提案するなら
- リンクは送るな
- 何かを送ってそれを入力させる、2FAでよくあるフローの方がまだ良さそう
- メールで怪しくないアピールするならURLにアクセスして表示された後もドメイン確認しろって言え
あたりでしょうか。
今度、アプリの方も見てみます。
おまけ
メールのタイトル。
何を言ってるんだ、amazon.co.jpはお前だろ。
ではまた。
