【情報セキュリティ】mizunoのマウスカバーが追加抽選で当選しましたが

情報セキュリティ

以前、申し込んで落選していたmizunoのマウスカバーが追加抽選で当選しました。

ネット上でも追加抽選に当選した旨の書き込みが見受けられたことから少し調べてみました。

2.メールの発信元

「当選」を知らせるメールは、From:はmizunoshop.netでしたが、ミズノから受託を受けたショッピングサイトらしきサイトからのメールでした。そのショッピングサイトはDKIMで正しく認証(PASS)されていたのですが、本当にミズノからなのかは確認できませんでした。

そのメールには「パスワードを設定する」のリンクがあるのですが、そのドメイン名もミズノのドメインなのか確証が持てるものではありませんでした。whoisデータベースで調べてもミズノであることは確認できません。SSLサーバー証明書も確認しましたが、連絡先などは入っていないためこれだけではわかりませんでした。

3.パスワードを設定してみる

確証は持てないながらも、ググってみると以前に追加当選者が出たときのドメイン名と今回のドメイン名に共通性が見受けられたことから、多分フィッシングサイトではないだろうとの推測で「パスワードを設定する」をやってみました。

すると、「ミズノマウスカバー販売サイト パスワードご登録完了」のメールが届きましたが、このメールは今度はDKIMがFAILとなっており、なんだかなぁと思います。

4.注文してみる

パスワードが登録完了した後に、注文してみました。

決済手段としてはクレジットカードの他にAmazonPayがあります。クレジットカード情報を入力するのは憚られるもののAmazonPayならAmazonの認証が必要なのでこちらの方がいろいろ確認できそうです。

5.AmazonPayで決済

それではということでAmazonPayで決済しました。

これでAmazonPayがなくてクレジットカード決済だけだったら注文を断念していたかもしれません。

何となくセキュリティに不安がある感じでしたが、電話などで確認とればもっと安心できたのかもしれません。しかし、ネット上のショッピングサイトの正当性を確認する手段がイマイチなことは感じました。

結果して、4日くらいでマウスカバーは到着しました。良かった良かった。

6.まとめ

本来のドメインと違うドメイン名を取得してショッピングサイトを開設し今までのドメインを守ろうとしたのかもしれませんが、ドメイン自体を別にしてしまうとそのドメインが本当に本来の所有者の設置したものかどうか確認できません。DNSを強化してサブドメインで新たなショッピングサイトを開設し、サーバだけ別にすればいいのではと思うのですが、相談したコンサルさんなのかショッピングサイトサービスの会社なのかの質が悪かったのか、イケてないサイト構築でした。もう少し頑張りましょう。

タイトルとURLをコピーしました