新幹線の予約サービスから「セキュリティ通知」が届いたら、一度立ち止まって確認する価値があります。
実は、このタイプのメールは フィッシング詐欺の典型的な手口として多く報告されている もので、JR東海が 公式に「当社とは無関係」と明言しているメール なんです。
受け取ったメールが本物かどうか見分ける方法を、調べてまとめてみました。
1. 件名「セキュリティ通知」のメールは本当に公式なの?
「【EX予約】 セキュリティ通知第三者が不正に利用を試みた可能性があります」という件名のメールは、迷惑メール相談センターでも具体的に注意喚起されている詐欺メールです。
JR東海公式サイトでも「当社とは一切関係ありません」と明記されており、7月の警告以降、8月から10月まで 複数の亜種が送信されてきています。
メール本文には、本物そっくりの「ここを確認」「更新する」といったボタンやリンクが含まれていることが多く、そこをクリックすると本物の予約サイトにそっくりな偽サイトにつながります。
2. どうしてこんなメールが送られてくるのか
犯人たちの狙いは、シンプルに個人情報やクレジットカード情報を盗むことです。
・ターゲットを絞らず大量にメールを送ることで、反応する人から情報をだまし取る
・メール内のリンクをクリックさせて、本物そっくりの偽サイトへ案内する
・ログインIDやパスワードを入力させることで、アカウント情報を盗む
・盗んだ情報で不正な購入や予約をされるリスクが出てくる
メールの件名に「セキュリティ通知」「警告」「緊急」といった言葉が使われているのは、受け取った人に 不安を感じさせて判断力を奪う ための工夫だと考えられます。
実際には、EX予約の公式システムは重要な通知をメール本文のリンククリックで促すことはなく、アプリやウェブサイトの登録ページでお知らせするようにしているんです。
3. メールが届いたときの対処方法
このようなメールを受け取ったときの対応は、意外とシンプルです。
1. 届いたメールの送信元メールアドレスをまず確認する
2. 公式サイト(expy.jp)に記載されたアドレスと比較してみる
3. 少しでも怪しいと感じたら、メール本文のボタンやリンクは一切タップしない
4. そのままメールを削除するか、迷惑メール・スパムに分類して処理する
5. 不安であれば、EX予約やスマートEXの公式アプリを使ってアカウント状態を直接確認する
大事なポイントは、公式のEX予約からメール経由で個人情報の入力を求められることは絶対にない ということです。
もし誤ってリンクを開いてしまった場合でも、そこにパスワードやカード番号を入力しなければ被害は防げます。
4. 公式メールと詐欺メールの見分けポイント
JR東海の注意情報から、詐欺メールの特徴が紹介されています。
・送信元のメールアドレスが不自然(ランダムな文字列や知らないドメイン)
・登録したことがないメールアドレスから届いている
・メール本文でID、パスワード、カード番号の入力を促している
・リンク先を確認すると公式サイトのアドレス(expy.jp)ではない
・日本語の表現が多少ぎこちない、またはコピペしたような文章に見える
・件名が「緊急」「至急」「確認が必要」といった不安をあおる内容
本物のセキュリティ通知であれば、EXアプリにログインしたときや公式ウェブサイトにアクセスしたときに、そこで案内されるはずです。
メール経由で急に対応を求めてくるケースは、ほぼ詐欺メールと判断してよさそうです。
5. もしもの場合の対応方法
詐欺メールのリンクを開いてしまったり、万が一パスワードなどの情報を入力してしまった場合は、EX予約やスマートEXの公式アプリから直接ログインしてパスワードを変更しておくのがいいでしょう。
より安全にするなら、カード情報を登録している場合はカード会社にも連絡して、利用停止の手続きをとるのをすすめます。
EXサービスのヘルプページにも対応方法が掲載されており、不正利用の可能性がある場合はカスタマーセンターに連絡することがすすめられています。
まとめ
「【EX予約】 セキュリティ通知第三者が不正に利用を試みた可能性があります」というメールは、公式のEXサービスが明確に「無関係」と示している詐欺メールです。
似たような件名や内容のメールが他にも出回っており、フィッシングの手口は時間とともに進化しているようです。
メールのリンクには触らず、アプリか公式サイトから直接アカウント確認をするクセをつけておくのが、詐欺被害を防ぐ最も確実な方法だと言えそうです。