Amazonからのメールを偽装したフィッシングメールが出回っているそうです。私のところにはまだ来ていませんが。フィッシング対策協議会が注意を呼びかけています。ITMediaのニュースでも紹介されています。気をつけましょう。

フィッシングのメールには，サービスの更新をする必要があると書いてあって，フィッシングサイトに誘導し，ID/パスワードやクレジットカード番号を入力させるようです。

ここまではよくある話なのですが，今回のフィッシングサイトはSSL通信に対応したセキュアなサイトを装っているということです。ということは，信頼できる認証局からサーバ証明書を発行してもらった人がフィッシングサイトを運営していることになります。

認証局は証明書を発行する相手を認証してから発行します。ところが，最近は，証明書の発行が簡易化していて，電子メールのやり取りだけで証明書が発行できたりするので，このようなことができるようになってしまっているのかもしれません。

今後は，EV証明書など，より確実な認証をしている証明書じゃないと信頼できないという風潮になってくるのでしょうか。でもEV証明書高いからなぁ。

それよりも，メールにリンクを貼り付けるなどのやり方は，正規の企業からのメールでは行われないと言ったような防御策が出てくるのかもしれません。簡単にリンク先に飛ばすようなやり方をすると，フィッシングであると疑われるような形ですかね。

ユーザの利便性を下げずに，セキュリティを確保する方策を検討する必要がありそうです。