Unityは、アセットストアのパブリッシャーを狙ったフィッシングキャンペーンを警告しています。偽のメールはUnityを装い、認証情報を盗もうとしています。正規のメールは @unity3d.com または @unity.com のドメインからのみ送信されます。ユーザーは不審なリンクを決してクリックせず、疑わしいメールはUnityサポートまたは security@unity3d.com に連絡して確認してください。認証情報が漏洩した場合は、直ちにパスワードをリセットし、二要素認証を有効にしてください。
何が起きているのですか?
現在、Unityアセットストアのパブリッシャーを標的としたフィッシングキャンペーンが進行中であることを確認しています。悪意のある第三者がUnityを装った偽メールを送り、アカウント認証情報を盗もうとしています。これらのメールの新しいバリエーションが定期的に報告されています。
メールが本当にUnityからのものかどうかを見分ける方法
Unityからのメールと思われるもののリンクやボタンをクリックする前に、以下を確認してください。
-
送信元アドレスを確認してください。 正規のUnityのメールはすべて
@unity3d.comまたは@unity.comのアドレスから送られます。表示名が「Unity」や「Unity Asset Team」となっていても、ドメインがこれら以外であれば、そのメールは当社からのものではありません。 - アカウントの確認、ポリシー更新のレビュー、取引の確認のために、不意に送られたリンクをクリックするようお願いすることは決してありません。 アカウントに関する操作が必要な場合は、ブラウザにURLを直接入力してログインしてください。
- 緊急性を強調するトーンもカジュアルなトーンも疑ってください。 パブリッシャーを狙ったフィッシングメールは、アカウント制限や支払い保留などの脅迫的な言葉遣いと、定期的な更新や軽微な調整のようなあえて気を緩めさせる言葉遣いの両方を使って疑いを避けようとしています。どちらのトーンも正当性の信頼できる指標ではありません。
- 迷ったら、クリックしないでください。 Unityサポートに直接連絡するか、security@unity3d.com にメールして、そのメールが本物かどうか確認してから行動してください。
パブリッシャーから報告されたフィッシングメールの例
以下のスクリーンショットは、パブリッシャーから報告された実際の例です。これは網羅的なリストではありません。新しいバリエーションが定期的に現れ、ここに示したものとは異なる場合があります。
疑わしいメールを受け取った場合はどうすればよいですか?
- リンクやボタンを決してクリックしないでください。
- 送信者に返信したり、個人情報を提供したりしないでください。
- メールプロバイダーのスパムまたはフィッシング報告機能を使って報告してください。
- 受信トレイからメールを削除してください。
すでにリンクをクリックしてしまった場合はどうすればよいですか?
これらのメールのリンクをクリックして認証情報を入力してしまった場合は、直ちにUnityアカウントのパスワードをリセットし、まだ設定していなければ二要素認証(2FA)を有効にしてください。