ゆうちょ銀行「ゆうちょ認証アプリ」本物の通知メールと偽物メール、見分け方

ゆうちょ銀行をインターネット経由で利用できる「ゆうちょダイレクト」は振込などの時にトークンと言うワンタイムパスワードを生成する専用機器を使って、二段階認証を行い本人かどうかの確認を行っています。

インターネットバンキングが始まった頃には認証カードを使った仕組みだったのですが、よりセキュリティの強固な「トークン」を使った仕組みが一般的になっています。

最近では、その仕組みをスマホのアプリで行う流れになっています。

今回、ゆうちょ銀行から来た通知は下記の2つでした

・「ゆうちょ認証アプリ」による本人認証サービスが開始される。
・トークンの発行料金が改定される

目 次

「ゆうちょ認証アプリ」のフィッシングメール

ゆうちょ銀行の偽物メール

何回か通知が来ているのですが、本物に混ざって、偽メールも来ました。
文面をみれば、なんとなく違和感を感じる文章ですが、偽メールの件名は「ゆうちょ認証アプリ」による本人認証サービス開始となっており、本物のメールの内容と一致している部分もあります。

メールの最後の部分は、サポートディスクへの連絡先も書いてあり、これは正しい 電話番号になっています。

わざわざサポートディスクに電話をする人がいないと思っているのか、電話をした場合でも、内容的には合っている部分もあるので、メールの内容をうまく伝えないと騙される人がいるかも知れません。

偽メールでは、サイトのURLにリンクしていて、そのサイトに誘導しています。

そのURLの表記も、見掛け上は、正しいゆうちょ銀行のドメイン、Japanpost.jpとなっていますがソースを確認すると、実際のリンク先は、日によって異なるのですが、表示されているURLと異なるURLへリンクしています。

※表記は、Japanpost.jpとなっているが、実際には違うURLへ飛ぶようになっている。

フィシングメールで、実際にリンクしているURL(日によって、リンク先が異なっていた)

※今回のゆうちょ銀行からのメールは、あくまでも「お知らせ」で具体的に何かをする必要はないです。

本物メールと偽メールの決定的な違いは、デジタル署名

本物のゆうちょメールは、電子署名付きのメールになっています。

デジタル署名を付けて送られてくるメールは、まだ少ないので、付いてないから偽物と判断は出来ませんが、ゆうちょからのメールに関しては、デジタル署名付きですので、付いていない メールは偽物の可能性が大です。

私は、メールをパソコンとiPhone、両方で受信しているのですが、パソコン(Mac) の場合は デフォルトの設定で、ヘッダ部分に「署名入り」の表示がされます。

iPhoneの「メール」の場合は、下記の設定をすることにより、表示されるようになります。

iPhoneでメールのデジタル署名を確認する

※ここでは、送られてきたメールがデジタル署名付きがどうかを表示する方法です。
(自分が送信するメールにデジタル署名を付けるには、「証明書」を購入する必要がありますが、送られて来たメールが署名付きかどうかを見分けるには下記の設定を行えば可能です)

iPhoneのメールでデジタル署名を表示する手順

「設定」>「メール」>「アカウント」

対象とするアカウントを選択  > さらにアカウントを選択

アカウント画面で、画面下の方の「詳細」をタップ。

詳細画面で、画面下の方の

「S/MIME」を有効にする。

有効にすると、その下に「署名」と「デフォルトで暗号化」が表示されるが、これは「いいえ」のまま。

この部分は、自分で送信するメールに「照明書」を付ける場合の設定です。

設定後、iPhoneでメールを確認すると

iPhoneで正規の本物メールを受信した場合(ゆうちょ銀行の場合)

ゆうちょ銀行を装う偽メールの場合
そもそも、本文の日本語にも違和感がありますけど...(笑)