ドキュサインを装う不審なメールを受け取ったら - 不正行為の特徴と見分け方
サイバーセキュリティーの脅威は今日のビジネスが直面する最も大きなリスクのひとつです。ドキュサインでは、それらの脅威を迅速に検知し、悪影響が拡大する可能性を減らすことに注力しています。本ブログでは、ドキュサインをかたる不審なメールやウェブサイトの見分け方、万が一疑わしいメールを受け取った場合の対処方法についてご紹介します。
ドキュサインを装った不審なメールを受け取ったら
ドキュサインでは脅威の種類別に窓口を用意しており、情報セキュリティの専門チームが適切に対応しています。ドキュサインを装った不審なメールを受け取ったり不正行為を見つけた場合、以下の方法で通報してください。
- ドキュサインを装った偽装メールやウェブサイト:もしドキュサインを装った偽のメールを受け取った場合は、メールそのものを添付ファイルとして spam@docusign.com 宛に転送いただき、受け取ったメールは即座に削除してください。
- ドキュサインアカウントの不正使用や乗っ取り:ドキュサインのアカウントが不正に使用された場合は、脅威や事象の詳細を securityaccountabuse@docusign.com までお送りください。ここで報告する事象の対象となるのは、違法行為、送信者や署名者を語るなりすまし、個人情報や資産情報を引き出すための不適切な誘導などです。報告をされる際には、以下の情報を含めていただきますようご協力お願いします。
- 報告する方の氏名および連絡先情報
- エンベロープ ID、添付ファイル、スクリーンショットやフォーム
- 送信者の名前(企業や個人)とメールアドレス
- 本来メールに記載されるべきお客様(受信者)および送信者の識別情報項目(例:住所や電話番号など)
- その他の情報
なお、ご報告いただいた方からの許可がある場合でも、弊社がドキュサインのシステム内にあるエンベロープ(電子封筒)等の情報にアクセスすることはありません。
- その他のセキュリティ脅威やドキュサインを騙る行為の調査:新たなサイバー脅威は常に発生しています。セキュリティに関する問題や不審な点、ドキュサインプラットフォームの不正使用の情報は security@docusign.com までご報告ください。
ご提供いただきました情報は専門チームにて厳重に管理・保護します。なお、追加の情報が必要な場合を除き、担当者からの連絡は控えさせていただく場合があります。予めご了承ください。
詐欺メールや不正なウェブサイトを検知するためのガイドライン
何よりもまず第一に、もし心あたりのない人から送られてきたドキュサインのエンベロープやメールそのものの真偽が不明な場合は、メールの下部に記載されているセキュリティコードを確認してください。もしセキュリティコードが見つからない場合は、メール内のリンクをクリックしたり、添付ファイルを開かないようにしてください。
次に、ドキュサインのホームページ(https://www.docusign.jp/)にアクセスし、ページ上部の [文書にアクセス] をクリックして、セキュリティコードを入力してください。ドキュサインのシステムから送信された有効なエンベロープである場合のみ、文書にアクセスしていただくことができます。
詐欺メールや不正なウェブサイトの特徴
- 偽のリンク
偽のリンクにアクセスしないために、ドキュサインから送られてくるメールの下部にある固有のセキュリティコードを使って、https://www.docusign.jp/ から直接文書にアクセスしてください。
リンクをクリックする前に、メールやウェブサイト内のリンク上にマウスカーソルを重ねて、ブラウザやメールソフトのステータスバーに表示されるリンク先の URL を確認するようにしてください。(正しい URL は必ず docusign.com もしくは docusign.net で始まるようになっています。)偽 URL は以下のような不正行為を働く可能性があり危険です。
- 偽のウェブサイトに誘導し個人情報を盗む
- システムにスパイウェアをインストールする(スパイウェアは使っているシステムの挙動をハッキングし、入力されたログイン ID やパスワード、クレジットカード番号などを盗みます。)
- 使用しているコンピューターを使用不能にするウィルスをダウンロードする
- 差出人が不明
偽の電子メールには「差出人」フィールドに偽造された電子メールアドレスが記載されている場合があります。「差出人」フィールドは簡単に改ざんできるものです。メールの差出人がわからない場合は、差出人に連絡してメールの真偽を確認してください。
- 添付ファイル
文書への署名をリクエストするドキュサインからのメールには、いかなる種類の添付ファイルも含まれていません。 署名を要求するメールの添付ファイルを開いたり、クリックしたりしないでください。ドキュサインのメールに添付ファイルが含まれるのは、関係者全員が文書に署名した後の完了済み文書の PDF ファイルだけです。その場合も、添付ファイルが有効な PDF ファイルであることを確認し、細心の注意を払ってください。ドキュサインは、zip 形式ファイルや実行ファイルを添付することはありません。
- 総称を用いて書かれた挨拶メール
多くの偽メールは、「Dear DocuSign Customer」のような総称を用いた挨拶文で始まります。挨拶文に自分の名前がない場合は偽装を疑い、リンクや添付ファイルをクリックしないようにしてください。
- 緊急を装う内容
多くの偽メールは、すぐに更新や手続きをしないとアカウントが危険にさらされるという脅しをかけて、受信者を騙そうとします。また、ご自身のアカウントで不正な取引が発生した、アカウント情報をすぐに更新する必要があるといった、嘘の記載している場合もあります。
- ウェブサイトのように見せかけたメール
偽のメールの中には、ウェブサイトのような見た目で個人情報を入力させようとするものがあります。ドキュサインは、メールでログイン、 ID、パスワードなどの個人情報を要求することはありません。
- 偽の URL
まずはウェブサイトのアドレスを確認してください。アドレスが問題なさそうでも、正規のサイトとは限りません。ブラウザの URL バーを見て、以下のようなフィッシングサイトの特徴がないか確認してください。
- フィッシングサイトの URL は正しいように見えても、実際には会社名のスペルが間違っていたり、会社名の前後に文字や記号が含まれていることがよくあります。(例: docusign.com ではなく、docusing.com となっている。)
- URLの数字の「1」 をアルファベットの 「l」に置き換えたり、realestate.docusign.com ではなく、rea1estate.docusign.com のように見間違えてしまうような文字を入れ替えたりする場合があります。
- お使いのブラウザには、特定のタイプの悪質なサイトを検出する方法があります。特に、サイトや証明書が信頼できないことを通知してくる場合は、これらのブラウザの警告に注意してください。
- 誤植や文法の誤り
誰しも書き損じはするものですが、偽のメールには、誤字脱字、間違った文法、文章として成立していないケースがしばしば見受けられます。このような間違いが、スパムフィルターを回避する手段として用いられます。
- 安全でないサイト
個人情報を入力するウェブサイトでは、アドレスの前に必ず「https」があることを確認してください。「s」はセキュア(Secure)の略です。「https」がなければ安全なウェブセッションではないので、個人情報を入力するべきではありません。正しいドキュサインのサインインページのアドレスは、常に 「http://」ではなく 「https://」始まっています。
- ポップアップボックス
ポップアップボックスは安全が保障されないため、ドキュサインのメールで使われることはありません。
不正であるかどうか分からない場合は、以下の項目をご確認ください。
- 送信者はドキュサインの利用者ですか? (メッセージは docusign.net もしくは docusign.com から送られてきていますか?)
- 送信者がアカウントを使用して違法行為や詐欺行為を行っていませんか?
- 送信者が個人情報や機密情報を不適切に引き出そうと勧誘していませんか?
- 送信者がドキュサインの利用者になりすましたり、署名者になりすましたりしていませんか?
- 送信者は「DocuSign サービスご利用規約」の 5. 本サイトの利用制限 (5.1) に記載されているドキュサインの規約に違反していませんか?
もし、いずれかの質問に対する答えが「はい」だった場合、securityaccountabuse@docusign.com まで詳細をお送りください。また、最新の情報はトラストセンターにてご覧いただけます。
おすすめ記事: ・ドキュサインのセキュリティに対する姿勢 ・ブランドのなりすましに注意!ドキュサインを装う「なりすまし」の事例と対策 ・次はあなたが被害に遭うかも?フィッシングメールに注意
※本ブログは、DocuSign トラストセンター「Incident reporting」の抄訳になり、一部加筆修正しています。
