ヒルトンホテル、ポイントプログラム会員にフィッシングメールそっくりの電子メールを送る

やや旧聞になるが、ヒルトンホテルが7月下旬、ポイントプログラム「Hilton HHonors」の会員あてにフィッシングメールにしか見えない文面の電子メールを送信し、HHonorsのITサポート担当までフィッシングメールだと判断する事態になっていたそうだ(Lenny Zeltser氏のブログ記事、The Registerの記事)。

この電子メールは「重要なメッセージ」のような件名で、冒頭のあいさつは会員のファーストネームのみ。本文は、あなたのアカウント情報が正しいかどうか確認したいので、Hilton HHonorsアカウントにログインして電子メールアドレスや住所、電話番号、受信する電子メールの選択を確認してほしいという内容だ。このほか、アカウントレベルやポイント数が記載されており、「ACCOUNT LOGIN」「UPDATE NOW」といったリンクも用意されている。

このメッセージを受け取った会員が正規のものかどうかHilton HHonorsのTwitterアカウントに質問したところ、HHonorsチームが送ったものではないので、アカウント情報を入力しないように警告されている。米NCRのLenny Zeltser氏はブログ記事で企業から送られた電子メールの良い例と悪い例を挙げ、フィッシングメールそっくりの正規のメールが増えると顧客の判断が鈍るので避けるべきだと述べている。

なお、元記事は正規の電子メールだった前提で書かれているが、そう判断した理由には触れられていない。Twitterでは別のユーザーが電子メールヘッダーのスクリーンショットを投稿し、Hiltonから送られたものかHiltonがハックされたのかどちらかだとコメントしているが、この件に関するHHonorsからの続報は出ていない。　スラドのコメントを読む | セキュリティセクション | ビジネス | セキュリティ | 通信 | 変なモノ | プライバシ

　関連ストーリー：
InfoSec Europe会場での調査、セキュリティ担当者の8割は重役がCEO詐欺の被害にあう可能性があると回答 2016年07月03日
フィッシングメールの93％にはランサムウェアが含まれている 2016年06月07日
米マテル、中国からのフィッシング攻撃に引っかかる。資金はギリギリのところで回収 2016年04月06日
Snapchat従業員、同社CEOをかたるフィッシングメールにだまされて従業員の個人情報を外部へ送信 2016年03月04日
Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ 2015年11月19日
三井住友銀行、同行を装うフィッシングメールが断続的に送信されているとして注意を呼びかけ 2014年06月28日
Exim 4.7x系のDKIM処理に脆弱性、任意のコードが実行される可能性 2011年05月10日
NTTドコモがSPFによるメール着信拒否機能を提供 2007年09月11日
三井住友銀行が顧客あてのメールに電子署名を添付 2006年04月16日
EZwebでSPF/Sender ID利用のメールフィルター導入へ 2005年12月07日