私は会社員時代の仕事柄ITリテラシーは高い方だし、最近は迷惑メールが一段と増えたのでフィルタリングしているというブログ記事も書いたように情報セキュリティに関する知識・意識も高い方だと思っている。

　しかし、本日午前中、メイン口座としているマネックス証券を騙るフィッシングメールが届き、ついクリックしてしまった。件名以下、本文は次の通り。

　今月初めに実際にマネックス証券に問い合わせをして何度かやり取りを行い、その結果に従って書類を提出していたので、その関係かと思い込んでよく見ずにクリックしてしまった。

　フィッシングメールの回答確認方法をクリックしてログインパスワードやGoogle認証システムによるワンタイムパスワードを入力した（そのあと取引パスワードも）が、　その後の画面遷移がおかしいので気付いた。リアルタイムでワンタイムパスワードを盗み証券口座を乗っ取る手口だ。

　それで、PC用のサイトで最初に急いで取引パスワードを変更し、変な注文がないことを確認し、次にログインパスワードも変更して、再度ログインした。再度注文状況を確認し、お客様情報（連絡先メールアドレス等）を変更されてないことも確認した。

　取引パスワードの変更まで1~2分、ログインパスワードの変更等を入れても数分の出来事だったが、引っかかったのに気付いた瞬間から、アドレナリンがドバっと出て作業中に心臓がバクバクしているのを感じた。

 

　フィッシングメールの「当社からの確認方法」のURLは明らかにおかしいし、差出人のアドレスも明らかにおかしかった。普段なら容易に気付くレベルだ。

　しかし上述したように、最近実際に問い合わせのやり取りをしていたという事実が思い込みを生み、届いていたメールを順次処理していく流れの中で安易にクリックしてしまった。

　誤発注もたまにやるのだが、結局、人間の認知機能に起因する（認知的フィルタリング、無意識的処理）もので、完全に防ぐのは難しいのかもしれない（2025年NISA成長投資枠の管理もミスっていた）。

 

　普段は記事を書いてから少しだけ寝かし、読み直して、投稿日時指定で記事を上げているが、今回は被害拡大防止に少しでも貢献しようとすぐに投稿した。

 

【当日追記】

　午後に入って再度ログインして、またお客様情報を確認しようとすると下記のように取引パスワードの入力失敗を繰り返したエラーが出た。どうやらフィッシングでログイン状態になっていたあと、不正取引を試みたようだ。

　フィッシングに気付いたあと一番に取引パスワードを変更したのが間に合って不正取引に巻き込まれるのを防げたようだ。まさに危機一髪だった。

　結局、再び取引パスワードの変更を余儀なくされたが、トラブル回避のコストに比べれば微々たるものだ。