手元に届いたメールが正しいものか、それともフィッシングメールなのか。技術的な解決策以外に、エンドユーザーでもすぐに見分けられるポイントを紹介しよう。
スパムフィルタリングなど、いろいろと手立てを打っていても、ユーザーのところに届くフィッシングメールをゼロにすることはできない。手元に届いたフィッシングメールに「釣られず」、冷静に判断できるよい方法はないだろうか?
ということで、S/MIMEや送信ドメイン認証といった技術的解決策以外に、エンドユーザーの立場に立ってフィッシングメールを見破るポイントを幾つか紹介してみよう。
幸いなことに、日本でのフィッシング事例は米国に比べるとまだまだ少ない。逆に言えば、現時点では海外のユーザーを狙ったフィッシングメールが日本に「漂着」することのほうが多いだろう。利用してもいない海外のサービスを名乗ってセキュリティ警告メールの類が来たら、これはもう自信を持って「フィッシングだ!」ということができる。
「日本でもありそうだけど違う」という例の1つが、VISA Internationalからと称する、クレジットカードのセキュリティに関するメールだろう。少なくとも、「日本人のための日本版サービス」ならば、英文で緊急性を訴えるメールが来るはずがない。ということで、このようなメールが来たら「いやぁ、話題のヤツが来ましたよ」と、安心してゴミ箱行きにできるだろう。
次に重要なのは、メールが届けられる宛先のアドレス(To:)だ。
最近では、仕事やプライベートなどのさまざまなやり取りを、1つのメールアドレスだけでまかなう人は少ない。Yahoo!メールやGmailなど、無料で利用できるメールサービスはいくらでもあるので、アカウントを増やすことは容易だ(ちなみにHotmailも無料だが、一定期間アクセスがないとアカウントを停止される)。
「ちゃんとしたプロバイダーのメールじゃなければ安心できないし、登録しない」という人には、裏ワザとして、キャンペーンと連動して無料でメールアカウントを取得できるケースもある。
この手の無料メールサービスを利用し、そこに送られてくるメールを普段使っているメールアカウントに転送する設定にしておけば、取り扱いがラクだ。その上、追加メールアドレスを「金の絡むサービス専用」にして他人には一切教えないようにすれば、そのメールアドレスにスパムやフィッシングメールがやってくる可能性は少なくなる(機械的にメールアドレスを生成してフィッシングメールを送りつけてくる場合もあるため、ゼロとは言えない)。
つまり、届いたメールの「To:」で真贋を判断する。これは誰にでもできて、比較的分かりやすい方法だろう。
ただし、サービスの登録先は信頼できる企業や組織に限定しておく必要がある。登録前にプライバシーポリシーを確認し、不要なメールは送ってこないか、必要以上のデータ共有が行われないかをチェックしておくべきだろう。
なお、スパムやフィッシングにせよ、正当なサービスのお知らせにせよ、一斉同報メールの場合は「To:」ヘッダがなかったり、あっても「unidisclosed-recipients」や「『From:』と同一アドレス」というケースが多い。しかし筆者としては、重要なメールを同報メールで送信されるのは受け入れがたい。個人的には「To: unidisclosed-recipients」で送ってくるような場合、ダメサービスの烙印を押すことにしている。
いやしくも企業が出すメールならば、まともなお作法に従っているはず。これが狂っているメールはすべて「アヤシイ」と判断するのが適切だろう。
まず、「日本人のためのサービス」を利用しているユーザーには、正しい日本語コードで送信されていること、これが最低条件だ。文字コードがおかしく、メーラーによっては正しく読めないメールを出すのは歓迎できない(なお、なぜか企業広報関係からそういった怪しいメールが来ることがある。Notesで配信する場合は設定をよく確認していただきたい)。また、送信日時のタイムゾーンが日本の設定(JST +0900)になっているかも確認するとよい。
特に、海外から発信される日本語スパムメールの場合、文字コードがいい加減なことが多い。今どき「Shift-JIS」でメールを送ってくるなんてありえない(一般的には「ISO-2022-JP」「UTF-8」、古いシステムでも「EUC」が個人的な許容限界だ)。これ以外の文字コードはすべてスパム、フィッシングと判定してもよいだろう。
次にチェックすべきは「From:」、つまり送信者だ。
Copyright © ITmedia, Inc. All Rights Reserved.