ユーザーにも分かる「フィッシングメール」を見破るポイント：企業責任としてのフィッシング対策（2/2 ページ）

[小林哲雄，ITmedia]

　ここには本当に正しいメールアドレスが記されているケースもあるが、たいていは「本当そうに見える」ものか、さもなくばデタラメなアドレスであることが多い。ありがちなパターンは、表示される「名前」だけはそれらしく作ってあるが、メールアドレスそのものは、一目見ただけでスパムや詐欺と分かるものだ。例えば、

From: ITmediaセキュリティ部<spam@foobar.jp>

というメールがある。受け取った直後は、前半の「ITmediaセキュリティ部」という表示に驚いてしまうかもしれないが、すぐに反応せず、いろいろと疑って見るべきだろう。

　メール本文も、内容ではなく、まず体裁からチェックしよう。「送信形式としてHTMLメールを選択しているのに、テキスト形式でメールが届く」ことは、緊急性という線から想定できなくもない。しかし逆に、テキスト形式を選択しているのにHTMLメールがくるケースはありえない。つまり、かなりの確率でスパム／フィッシングと判定してよいだろう。

　フィッシングメールは、誘導先の詐欺サイトのアドレスを隠すため、HTMLメールを採用する事例が多い（関連記事）。したがって、ユーザーの自衛手段の1つとして、サービス先から送られてくるメールは「テキスト形式で受け取る」よう選択するのが望ましい。

その3：「正しい送信経路？」

　すべての人にとって簡単な方法ではないが、次にチェックすべきは、そのメールが「正しい送信経路をたどってきたかどうか」ということだ。

　ほぼすべてのメーラーには「ヘッダを詳しく見る」ためのオプションが用意されており、このヘッダ情報を確認すると、そのメールがどこを通ってきたか、伝送経路が分かるようになっている。

　実際には、確認の拠り所となる「Received:」ヘッダも偽装が可能なため、使用しているISPのSMTPサーバに届くところをチェックするのがポイントだ。SMTPに受け渡しているIPアドレスや逆引きのドメインを見て「あまりにも怪しいところ」から送られてくる場合は、フィッシングの疑いを持ったほうがよいだろう。

　ただし、本来のメールがどこから送信されるかを宣言している企業は皆無であり、メール送信を外部企業にアウトソーシングしている可能性も否定できない。

　それでも、国内サービスの重要なメールを、フィッシングが多いと言われる「日本以外のアジアの国」（韓国や中国発のスパムが多いことはあちこちで報道されている）や、「付き合いがないヨーロッパ」（米国以外では、欧州発のフィッシングメールが多い）から送られてくる可能性は低いだろう。また日本国内のアドレスでも、逆引きの結果、一般ユーザー向けISPが利用しているIPアドレスから「重要なお知らせ」が送信されることはありえないので、スパマーによるものと思ってよいだろう。

　なお、日ごろの正式な通知メールと手元に届いた怪しいメールとを比較し、明らかに送信経路が変わっている場合は、疑惑はいっそう高まる。したがって、日ごろから注意を払い、必要に応じて正しいメールと比較するとよいだろう。

最後に：「だまされる前に再チェック」

　以上、比較的簡単なものから、少々難しいものまで、メールを注意深く見るだけでスパムやフィッシングの可能性が高いものを判断するポイントを紹介してみた。

　フィッシングメールの「キモ」は、受信者を驚かせ、ビックリしているスキをついてフィッシングサイトに誘導する点にある。もしも本当に緊急事態ならば、本家サイトに「お知らせ」が掲載されてもおかしくない。

　また、「フィッシャーはマスコミまで動かせない」。少々過敏と言われる節もあるが、個人情報漏えい事件が発生すれば、ほぼ確実に報道の対象になるし、企業には公表の義務が生じる。大量のクレジットカード情報が漏れるような事件が起きれば、ニュースにならないはずがない。「○○が起こったため危険なので云々」のメールを受け取ったならばニュースサイトを見よう。それが本当ならば、何らかの関連記事があると思ってよいだろう。

　最後に、フィッシングサイトに誘導された場合の注意事項を1つ挙げておこう。

　特にクレジットカード情報の場合、日本と海外とでは、詐欺師が入力させたがる内容が異なるので、その辺も要チェックだ。例えば、米国で重要な情報の1つに「SSN：社会保障番号」（本来はアメリカ政府から年金を受け取るための番号だが、現在アメリカ国内では、本人確認のための最も重要なID番号として広く使われている）があるが、日本にはこの制度はない。また、クレジットカードの発行会社を「BANKER'S NAME」と称する場合が多いが、日本では「銀行系クレジットカード」の比率は相対的に低い。銀行やクレジットカード会社のWebサイトの作りと少しでも違う場合や聞きなれない表記を見たら、即アヤシイと疑うのがよい。