フィッシングにまみれてしまった「メール」の今後を考える:半径300メートルのIT
フィッシングが激化する昨今、「Gmail」などのメールサービスにおいて電子メール送信者の要件が変更になります。これを踏まえてサービス事業者はどのような対策を講じればいいのでしょうか。
フィッシング対策協議会は毎月のフィッシング報告状況をレポートで公開しています。コンシューマー向けにサービスを提供している企業は特に目を通しておいてほしい資料です。
レポートによると、2023年11月のフィッシング状況は先月と比較して報告件数が大幅に下がったそうです。「AmazonやETC利用照会サービスをかたるフィッシングの報告が各3万件以上減少したことが大きな要因」とのことですが、フィッシングに悪用されたブランドの件数は減少しておらず、報告数上位のブランドも変化していないため、フィッシング報告の件数だけに注目してはならないことを意味しているように思えます。
この他、レポートではなりすましメール対策として「DMARCポリシー」および「BIMI」への対応を推奨しています。ここ最近はこれらの技術が注目を集めており、特に「Gmail」においては電子メール送信者の要件として以下を定めています。
- ドメインにSPFまたはDKIMメール認証を設定すること
- 送信元のドメインまたはIPに、有効な正引きおよび逆引きDNSレコード(PTRレコードとも呼ばれます)があること
- 電子メールの送信にTLS接続を使用すること
一日に5000通以上を送信する場合は、「DMARCを設定することを要求する」「メールマガジンを解除するためのリンクを記載すること」などが追加されます。事業者ができる対策を講じ、フィッシングの量と質を変えていく必要があるというのが、ここ最近の大きな動きです。ぜひチェックしてみてください。
検索を起点としたフィッシングをどう防ぐか?
フィッシングの起点の多くはなりすましメールやSMSですが、問題として無視できないのは「検索」を起点としたものです。最近、人気VTuberの壱百満天原サロメ氏が「X」(旧Twitter)で被害に遭ったことを報告していました。具体的には、検索経由でディズニーランドのチケット購入サイトを装った詐欺サイトにアクセスし、クレジットカード情報を入力してしまったという内容でした。
報告があったのが2023年12月9日で、フィッシング対象のブランドである東京ディズニーリゾートは、同年12月14日に注意喚起を実施しています。被害発覚から注意喚起までの期間のギャップは、こういった検索からやってくるフィッシングを運営側が把握することの難しさを反映したものではないかと思います。
今回のフィッシングは、Webブラウザで「ディズニーチケット 購入」と検索した際に、公式サイトではなく詐欺サイトが出てきたことが原因です。検索で上位に詐欺サイトが出てくれば、疑いもせずそのまま誘導されてしまうのは仕方がないでしょう。
同様の事例では、米国入国時に必要となる「ESTA」申請のWebサイトで、多数の“申請代行サイト”がヒットすることなどが挙げられます。皆さんも一度、ESTAを申請する練習として、検索から正規のWebサイトにたどり着けるかどうかを試してみてください。
利用者側としてはこの対策は難しく、十分に気を付ける以上のことはできないのが実態です。検索エンジンが出す結果は期待とは大きく異なり、ときとして脅威を含む結果を出力する可能性があることを肝に銘じるべきでしょう。しかし普段の検索はともかく急いでいるときなどに、これを意識するのは非常に困難です。
一方で事業者側としてはどのような対策を講じればいいのでしょうか。フィッシング対策協議会のレポートの中には、以下の記載があります。
利用者への啓発については、サービスの専用アプリで注意喚起を行ったり、既存の啓発コンテンツや送信する正規メールでの注意喚起を見直して、送信ドメイン認証で認証された正規メールと偽メールとの見え方の違いについて、十分に周知してください。利用者がその違いを知らなければ、効果はありません。
(「2023/11 フィッシング報告状況」より)
ポイントは専用のアプリなど、電子メールなどに頼らない経路で注意喚起できるかどうかということ。そして既存の啓発コンテンツで注意喚起できるかどうかということです。一方でそれがそのまま課題になるわけですが、そういった経路を事前に用意していない場合、注意喚起そのものがだます手段になりますので、普段の「信頼作り」が重要であることが分かるかと思います。
Gmailの変更によって電子メールの重要度が下がる?
そして、その信頼作りのための経路を急いで見直さねばならない事情があります。先ほど触れたGmailの要件変更は非常に重大なものであり、2024年2月以降これまで届いていた電子メールが到達しない可能性があります。実は以前から、Gmailに関してはメーリングリストの電子メールが到達しない事例が非常に多く報告されており、小さなコミュニティーでの連絡手段として非常に不安定になっています(主に独自ドメインや転送が絡んだ場合の問題だと考えられます)。
Gmailには多くのユーザーがいますが、サービスが厳格化され「届かないメールが増える」と個人利用者レベルでは電子メールを利用しなくなる可能性もあるかもしれません。迷惑メールが増えたことで、全ての電子メールが優先度が低いものと見なされれば、そこにいくら注意喚起を送っても無意味でしょう。そうなると、事業者側は事前に信頼できるメッセージ送信手段を作っていくことが必要です。これはなかなか悩ましいことになりそうです。
個人的には、アプリを山のようにインストールしたくもなければ、今さら電話を受ける気にもなりません。そうなるとSNSが最適かと思ったのですが、運営会社が不安定な場合はこれもなかなか信頼できず。普通の人が普通に情報を受け取れるインフラが無いことも、フィッシングを撲滅できない理由なのかもしれません。
そんな状況ではありますが、あなたの情報源の一つとして、アイティメディアのトップページなどを参照してくれれば大変うれしいのですが……。ぜひブックマークしておいてください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 今どきのフィッシングは「レベルが違う」 私たちが引っ掛からないためにできること
2023年の不正送金額は1〜6月の上半期だけで過去最多を記録した。フィッシング対策に向けて銀行はどのような取り組みをしているのか、また引っ掛からないために、消費者ができることは何か。 - 徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 - ファイル転送サービスはなぜサイバー攻撃の標的になるのか?
2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。 - サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。