検索
連載

フィッシングにまみれてしまった「メール」の今後を考える半径300メートルのIT

フィッシングが激化する昨今、「Gmail」などのメールサービスにおいて電子メール送信者の要件が変更になります。これを踏まえてサービス事業者はどのような対策を講じればいいのでしょうか。

Share
Tweet
LINE
Hatena

 フィッシング対策協議会は毎月のフィッシング報告状況をレポートで公開しています。コンシューマー向けにサービスを提供している企業は特に目を通しておいてほしい資料です。


2023年11月のフィッシング報告状況(出典:フィッシング対策協議会のWebサイト)

 レポートによると、2023年11月のフィッシング状況は先月と比較して報告件数が大幅に下がったそうです。「AmazonやETC利用照会サービスをかたるフィッシングの報告が各3万件以上減少したことが大きな要因」とのことですが、フィッシングに悪用されたブランドの件数は減少しておらず、報告数上位のブランドも変化していないため、フィッシング報告の件数だけに注目してはならないことを意味しているように思えます。

 この他、レポートではなりすましメール対策として「DMARCポリシー」および「BIMI」への対応を推奨しています。ここ最近はこれらの技術が注目を集めており、特に「Gmail」においては電子メール送信者の要件として以下を定めています。

  • ドメインにSPFまたはDKIMメール認証を設定すること
  • 送信元のドメインまたはIPに、有効な正引きおよび逆引きDNSレコード(PTRレコードとも呼ばれます)があること
  • 電子メールの送信にTLS接続を使用すること

 一日に5000通以上を送信する場合は、「DMARCを設定することを要求する」「メールマガジンを解除するためのリンクを記載すること」などが追加されます。事業者ができる対策を講じ、フィッシングの量と質を変えていく必要があるというのが、ここ最近の大きな動きです。ぜひチェックしてみてください。


Googleが公開している「メール送信者のガイドライン」(出典:GoogleのWebサイト)

検索を起点としたフィッシングをどう防ぐか?

 フィッシングの起点の多くはなりすましメールやSMSですが、問題として無視できないのは「検索」を起点としたものです。最近、人気VTuberの壱百満天原サロメ氏が「X」(旧Twitter)で被害に遭ったことを報告していました。具体的には、検索経由でディズニーランドのチケット購入サイトを装った詐欺サイトにアクセスし、クレジットカード情報を入力してしまったという内容でした。

 報告があったのが2023年12月9日で、フィッシング対象のブランドである東京ディズニーリゾートは、同年12月14日に注意喚起を実施しています。被害発覚から注意喚起までの期間のギャップは、こういった検索からやってくるフィッシングを運営側が把握することの難しさを反映したものではないかと思います。


東京ディズニーリゾートもフィッシング詐欺について注意喚起している(出典:東京ディズニーリゾートのWebサイト)

 今回のフィッシングは、Webブラウザで「ディズニーチケット 購入」と検索した際に、公式サイトではなく詐欺サイトが出てきたことが原因です。検索で上位に詐欺サイトが出てくれば、疑いもせずそのまま誘導されてしまうのは仕方がないでしょう。

 同様の事例では、米国入国時に必要となる「ESTA」申請のWebサイトで、多数の“申請代行サイト”がヒットすることなどが挙げられます。皆さんも一度、ESTAを申請する練習として、検索から正規のWebサイトにたどり着けるかどうかを試してみてください。

 利用者側としてはこの対策は難しく、十分に気を付ける以上のことはできないのが実態です。検索エンジンが出す結果は期待とは大きく異なり、ときとして脅威を含む結果を出力する可能性があることを肝に銘じるべきでしょう。しかし普段の検索はともかく急いでいるときなどに、これを意識するのは非常に困難です。

 一方で事業者側としてはどのような対策を講じればいいのでしょうか。フィッシング対策協議会のレポートの中には、以下の記載があります。

利用者への啓発については、サービスの専用アプリで注意喚起を行ったり、既存の啓発コンテンツや送信する正規メールでの注意喚起を見直して、送信ドメイン認証で認証された正規メールと偽メールとの見え方の違いについて、十分に周知してください。利用者がその違いを知らなければ、効果はありません。


(「2023/11 フィッシング報告状況」より)

 ポイントは専用のアプリなど、電子メールなどに頼らない経路で注意喚起できるかどうかということ。そして既存の啓発コンテンツで注意喚起できるかどうかということです。一方でそれがそのまま課題になるわけですが、そういった経路を事前に用意していない場合、注意喚起そのものがだます手段になりますので、普段の「信頼作り」が重要であることが分かるかと思います。

Gmailの変更によって電子メールの重要度が下がる?

 そして、その信頼作りのための経路を急いで見直さねばならない事情があります。先ほど触れたGmailの要件変更は非常に重大なものであり、2024年2月以降これまで届いていた電子メールが到達しない可能性があります。実は以前から、Gmailに関してはメーリングリストの電子メールが到達しない事例が非常に多く報告されており、小さなコミュニティーでの連絡手段として非常に不安定になっています(主に独自ドメインや転送が絡んだ場合の問題だと考えられます)。

 Gmailには多くのユーザーがいますが、サービスが厳格化され「届かないメールが増える」と個人利用者レベルでは電子メールを利用しなくなる可能性もあるかもしれません。迷惑メールが増えたことで、全ての電子メールが優先度が低いものと見なされれば、そこにいくら注意喚起を送っても無意味でしょう。そうなると、事業者側は事前に信頼できるメッセージ送信手段を作っていくことが必要です。これはなかなか悩ましいことになりそうです。

 個人的には、アプリを山のようにインストールしたくもなければ、今さら電話を受ける気にもなりません。そうなるとSNSが最適かと思ったのですが、運営会社が不安定な場合はこれもなかなか信頼できず。普通の人が普通に情報を受け取れるインフラが無いことも、フィッシングを撲滅できない理由なのかもしれません。

 そんな状況ではありますが、あなたの情報源の一つとして、アイティメディアのトップページなどを参照してくれれば大変うれしいのですが……。ぜひブックマークしておいてください。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る