ドコモから送られてくる、メールアドレス「message_r@mail2.apl01.spmode.ne.jp」からのお知らせ。
今回の記事では「dアカウントの連絡先携帯電話番号登録のお願い」を例に、これが本物か検証します。
送られてきたメールの本文
まずは検証サンプルとして「おそらくドコモ」から送られてきたメールを紹介します。
件名:dアカウントの連絡先携帯電話番号登録のお願い
差出人:message_r@mail2.apl01.spmode.ne.jp
平素はドコモをご愛顧いただき、誠にありがとうございます。
お客さまにご利用いただいているdアカウントは、現在連絡先携帯電話番号が未登録となっております。
セキュリティ向上の観点から、dアカウントの連絡先携帯電話番号のご登録をお願いしております。
お手数をおかけいたしますが、お客さまにてご利用いただいているdアカウントに連絡先携帯電話番号のご登録をお願いいたします。
【連絡先携帯電話番号登録の注意事項】
・お客さまの携帯電話番号が必要となります。
・ご契約されている携帯電話通信会社は、ドコモである必要はありません。
・SMSを受信、閲覧できる必要があります。
【連絡先携帯電話番号登録の手順】
1.dアカウントポータルサイトにアクセス
https://id.smt.docomo.ne.jp/
2.お客さまご利用のdアカウントにてログイン
3.その他手続き:連絡先携帯電話番号の登録・削除をクリック
4.新しい連絡先携帯電話番号にお客さまの携帯電話番号を入力し、登録するをクリック
5.携帯電話に届いたSMSに記載されたワンタイムキー(数字6桁)を確認
6.サイトにてワンタイムキーを入力し、次へ進むをクリック
7.正しく携帯電話番号が登録されたことを確認
dアカウントをより安心・安全にご利用いただくため、連絡先携帯電話番号のご登録をお願いいたします。
また、さらなるセキュリティ向上のために、2段階認証のセキュリティコードの送信先を連絡先携帯電話番号に変更いただくことをおすすめいたします。
2段階認証の設定変更もdカウントポータルサイトにてお手続きいただけます。
本件に関する問い合わせ先:
株式会社NTTドコモ dポイントカスタマーセンター 0120-208-360
受付時間:24時間 年中無休
※ただし、午後8:00~午前9:00については、dポイントカードの利用停止・再開のみの受付となります。
メールは本物か偽物か?
まず結論から言うと、自身に届いたこのメールに限っては「本物」だと言えると考えます。(理由は後述)
しかし「message_r@mail2.apl01.spmode.ne.jp」から届くメールが、全て本物とは断言できません。
発送元のメールアドレスは簡単に「偽装」が可能であり、あたかもドコモを装って送信できるためです。
このようなメールでとくに注意すべきは、メール本文内にある「URLをクリックしないこと」です。
メール本文には発信元に似せたURLが記載されており、読み手の誤クリックを誘導してきます。
リンク先はIDやパスワードの入力欄となっているため、迂闊に入力しないよう注意しましょう。
リンク先が本物を装った「フィッシングサイト」であった場合、情報が抜き取られてしまいます。
一度情報が抜き取られてしまうと、相手と自身でパスワードの変更競争が始まります。
もしこの競争に負けたら、あなたのIDやパスワードは基本2度と取り戻すことができません。
さらに決済情報が結びついていれば、覚えのない請求が届くことも十分に考えられます。
これらを防止するために重要な対策方法は、下記の3点です。
フィッシングサイトの対策方法
- 大前提として、怪しいメールを開かない ⇐ 重要。これだけで防げる
- メールを開いてしまった場合、本文のURLや添付ファイルにアクセスしない
- もし本文のURLからリンク先を開いてしまっても、IDやパスワードを入力しない
- (万が一IDやパスワードを入力してしまったら、すぐにパスワードの変更を行う)
実際に試してみた
それでは今回、このメールが「本物であろう」と考えた理由について記載します。
ここで注意すべきは、どのようなメールであっても「メール本文のURLでアクセスしない」ということです。
上の例でいうと「https://id.smt.docomo.ne.jp/」がそれにあたり、ほとんどのメーラー(メールを送受信するソフト)で自動的にクリックできるようにリンクへと書き換えられているはずです。
リンク先へはカーソルを合わせたりタップせず、メールを閉じて「ドコモの公式サイト」へ移動しましょう。
今回のメールの件名は「dアカウントの連絡先携帯電話番号登録のお願い」でした。
そのためドコモが開いたら、画面左上にある「ログイン」を選択します。
もしくは「dアカウントポータルサイト」と検索して「アカウント管理」でも構いません。
するとdアカウントのログイン画面が開きますから、任意のIDとパスワードで「ログイン」します。
ログインすると登録が必要な会員情報として「連絡先携帯電話番号(国内)」が表示されました。
これはメールの件名や本文と合致する内容であり、先程のメールが本物であることが確認できるでしょう。
あとは画面の指示に従いながら「新しい携帯帯連絡電話番号」を入力し、登録を行います。
携帯電話番号を登録しようとすると、その電話番号に「ワンタイムキー」が送信されますから、入力して「次へ」進みます。
「連絡先携帯電話番号の登録が完了しました」と表示されたら、作業は完了です。
あなたは騙されませんでしたか?
ここまで解説しましたが、上記の方法は完全な対策とは言えません。
騙せるポイントはいくつかあり、メールのURLをクリックしなかったら安全というわけではないのです。
注意すべきだったポイント
- 1:ドコモのサイトにアクセスする際、私が作成したこのページ上のボタンから移動した
- 2:ボタンは危ないので「ドコモ」と検索したが、URLを確認しないまま検索結果に表示されたページにアクセスした
- 3:もしくは「dアカウントポータルサイト」と検索し、URLを確認しないままアクセスした
まず1については、もし私が悪意のあるサイト運営者だった場合、リンクを書き換えておくからです。
リンク先を「ドコモらしいサイト」にしておけば、きっと違和感なくdアカウントにログインするはずです。
↑ このようなボタンに注意しましょう!
検索サイトで公式サイトへ移動する「2」や「3」の方法についても、安全とは言い切れない方法です。
現時点ではまず公式サイトが検索結果の上位に表示されるでしょうが、今後はわかりません。
SEOを意識した偽装サイトが公式サイトよりも上位に表示されることがあれば、騙される人は多いはず。
その時URLを見て本物か確認するのですが、普段使わないサイトの場合はまずURLで真贋を判断できません。
つまりここで解説した対策は「100%完璧ではない」ということです。
安全性を上げるとするなら、あとはウイルス対策ソフトが不審なURLを検知してくれるかどうかくらいです。
spmodemsgr@wdy.docomo.ne.jpは本物か?
ちなみに「spmodemsgr@wdy.docomo.ne.jpは本物か?」は、別記事で詳しく解説しています。
-
【ドコモ】spmodemsgr@wdy.docomo.ne.jpは本物か?【メール】
message_r@mail2.apl01.spmode.ne.jpに続き、到着した「spmodemsgr@wdy.docomo.ne.jp」からのメール。
今回はこの「d アカウント/ ビジネスdアカウントのロックに関するお知らせ」を例に、本物か検証します。続きを見る
スマホ料金最適化 ⇒ 月額290円でドコモ回線