ritou です。

今日から12月、アドカレの季節ですね！ということで今年もやっていきましょう。 これは「Digital Identity技術勉強会 #iddance Advent Calendar 2025」一日目の記事となります。

qiita.com

あんまり長くなっても読むの大変なので、短めにします。今日はこちらの話をしましょう。

SBI証券を名乗るなりすましメールによる乗っ取り被害にご注意ください - Yahoo!メール新着情報

個別のURLなのにHTMLのtitleとかが「Yahoo!メール新着情報」なのがじわじわきますね。

この記事はSBI証券を名乗るなりすましメールに関する注意喚起です。 ユーザーがなりすましメール内のリンクから偽サイトに誘導され、認証情報を盗み取られた結果、Yahoo!メールアカウントとSBI証券アカウントの両方が乗っ取られ、不正取引などの被害に遭う可能性がある として、その手口と対策を解説しています。

今回のポイント

次の3点ですね。

• メール受信が必要な機能を、メールプロバイダのアカウントを乗っ取ることで利用可能にする手口が存在
• その実現のためにメールアドレスのプロバイダごとにロジックが存在し、出し分けられている
• 「正規のサービス以外に入力しない」という啓発が行われてきたパスワードに比べ、OTP系は気軽に入力してしまうかも

1点目ですが、パスキー認証の導入が進んではいるものの、依然必須化は難しいというのが現状です。 それに伴い、当人認証のフォールバックや、身元確認の方法としてメール受信を利用するケースは存在するわけですが、今回はその部分をメールプロバイダのアカウントを狙うことで突破したというわけです。一度メールプロバイダのアカウントがやられると同様のメール受信を利用する他のサービスでも利用可能となるため、より気を付ける必要があるでしょう。

2点目は当然ながら、メールプロバイダごとにロジックが用意されていることがわかるわけです。 中間者系のフィッシングサイトでは、フォームに入力された値を中間者として正規のサービスに送るだけの処理を想像してしまいがちですが、実際はよりテクニカルに個々のメールプロバイダに対応もしくは出しわけがされる状態であると認識しておく必要がありそうです。

3点目はユーザーのお気持ち的なところで、パスワードよりもOTPの方がフィッシングサイトに入力されるリスクが高いのかなと思ったりします。「パスワードは正規のサービスのみに入力してください。」という啓発のSMSやEmail OTP版もたくさんやっていく必要があるかもしれません。

今回は簡単ですが、メールプロバイダのアカウントが狙われる！という話をしました。

明日はこいわいさんがパスキーの話を書いてくれそうです！お楽しみに！

qiita.com

それでは、パスキーの世界最高権威を狙う者による怪文書には気をつけましょう

ではまた！