ユーザーにも分かる「フィッシングメール」を見破るポイント企業責任としてのフィッシング対策(1/2 ページ)

手元に届いたメールが正しいものか、それともフィッシングメールなのか。技術的な解決策以外に、エンドユーザーでもすぐに見分けられるポイントを紹介しよう。

» 2006年03月22日 11時15分 公開
[小林哲雄,ITmedia]

 スパムフィルタリングなど、いろいろと手立てを打っていても、ユーザーのところに届くフィッシングメールをゼロにすることはできない。手元に届いたフィッシングメールに「釣られず」、冷静に判断できるよい方法はないだろうか?

 ということで、S/MIMEや送信ドメイン認証といった技術的解決策以外に、エンドユーザーの立場に立ってフィッシングメールを見破るポイントを幾つか紹介してみよう。

その0:「そんなサービス使ってません」

 幸いなことに、日本でのフィッシング事例は米国に比べるとまだまだ少ない。逆に言えば、現時点では海外のユーザーを狙ったフィッシングメールが日本に「漂着」することのほうが多いだろう。利用してもいない海外のサービスを名乗ってセキュリティ警告メールの類が来たら、これはもう自信を持って「フィッシングだ!」ということができる。

 「日本でもありそうだけど違う」という例の1つが、VISA Internationalからと称する、クレジットカードのセキュリティに関するメールだろう。少なくとも、「日本人のための日本版サービス」ならば、英文で緊急性を訴えるメールが来るはずがない。ということで、このようなメールが来たら「いやぁ、話題のヤツが来ましたよ」と、安心してゴミ箱行きにできるだろう。

その1:「そんなメールアドレス登録してません」

 次に重要なのは、メールが届けられる宛先のアドレス(To:)だ。

 最近では、仕事やプライベートなどのさまざまなやり取りを、1つのメールアドレスだけでまかなう人は少ない。Yahoo!メールやGmailなど、無料で利用できるメールサービスはいくらでもあるので、アカウントを増やすことは容易だ(ちなみにHotmailも無料だが、一定期間アクセスがないとアカウントを停止される)。

 「ちゃんとしたプロバイダーのメールじゃなければ安心できないし、登録しない」という人には、裏ワザとして、キャンペーンと連動して無料でメールアカウントを取得できるケースもある。

 この手の無料メールサービスを利用し、そこに送られてくるメールを普段使っているメールアカウントに転送する設定にしておけば、取り扱いがラクだ。その上、追加メールアドレスを「金の絡むサービス専用」にして他人には一切教えないようにすれば、そのメールアドレスにスパムやフィッシングメールがやってくる可能性は少なくなる(機械的にメールアドレスを生成してフィッシングメールを送りつけてくる場合もあるため、ゼロとは言えない)。

 つまり、届いたメールの「To:」で真贋を判断する。これは誰にでもできて、比較的分かりやすい方法だろう。

 ただし、サービスの登録先は信頼できる企業や組織に限定しておく必要がある。登録前にプライバシーポリシーを確認し、不要なメールは送ってこないか、必要以上のデータ共有が行われないかをチェックしておくべきだろう。

 なお、スパムやフィッシングにせよ、正当なサービスのお知らせにせよ、一斉同報メールの場合は「To:」ヘッダがなかったり、あっても「unidisclosed-recipients」や「『From:』と同一アドレス」というケースが多い。しかし筆者としては、重要なメールを同報メールで送信されるのは受け入れがたい。個人的には「To: unidisclosed-recipients」で送ってくるような場合、ダメサービスの烙印を押すことにしている。

その2:「文章おかしくない?」

 いやしくも企業が出すメールならば、まともなお作法に従っているはず。これが狂っているメールはすべて「アヤシイ」と判断するのが適切だろう。

 まず、「日本人のためのサービス」を利用しているユーザーには、正しい日本語コードで送信されていること、これが最低条件だ。文字コードがおかしく、メーラーによっては正しく読めないメールを出すのは歓迎できない(なお、なぜか企業広報関係からそういった怪しいメールが来ることがある。Notesで配信する場合は設定をよく確認していただきたい)。また、送信日時のタイムゾーンが日本の設定(JST +0900)になっているかも確認するとよい。

 特に、海外から発信される日本語スパムメールの場合、文字コードがいい加減なことが多い。今どき「Shift-JIS」でメールを送ってくるなんてありえない(一般的には「ISO-2022-JP」「UTF-8」、古いシステムでも「EUC」が個人的な許容限界だ)。これ以外の文字コードはすべてスパム、フィッシングと判定してもよいだろう。

 次にチェックすべきは「From:」、つまり送信者だ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ