1. Home
  2. /
  3. 伊藤英明
  4. /
  5. フィッシングメールをきっかけに考える,自己の情報に関するオープンクローズ戦略

フィッシングメールをきっかけに考える,自己の情報に関するオープンクローズ戦略

最近届いたメールと感じた違和感について

以下のメールをパッと見て,フィッシングメールだと気づけますか?

以下は,最近私の仕事用アドレス宛に届いたメールです。

JRの名前と「えきねっと」という,なんとなくありそうなサービス名に一瞬信じかけたんですが,ちゃんと文章を読むと明らかにおかしい点が複数あります。

違和感

①(本文には2年以上ログインがないと書いてあるが,)私が今の事務所に来てから2年経っていないので,2年前に事務所のアドレスで登録しようがない

②Fromのメールアドレスのドメイン部分が不自然「eki-net.com.jp」

③「ログインはこちら」のURLを見ると,.cnの中国ドメイン

フィッシングメールの被害を防ぐためには,メールを受け取った人がこうした「違和感」を感じることが重要になってきます(ちなみに,①〜③は私が違和感を感じた順です)。

フィッシングメールの見分け方について,実例からの私見

Fromに注意してリンクをクリックしなければ大丈夫?

よくフィッシングメールの注意点として,差出人(From)のアドレスが不自然ではないか,とか,安易にURLのリンクをクリックするな,とか言われます。

しかし,毎日大量のメールが来る仕事用のアドレスであれば,毎回常にFromのドメインをチェックしたり,URLをクリックせずにリンク先を調べたりすることは,実感として難しいと思います。差出人が偽装されている場合もあります。

また,2段階認証やパスワードのリセット,その他,メールに書いてあるリンクをクリックすることが前提になっている「仕組み」が現に動いているなかで,メールのリンクを一切クリックしない,という選択肢をとることも,通常は困難です。

そのほか,変な日本語や,メール本文の書式の雑さなどで見分ける方法も言われていますが,今回来たメールなどは,一見,ビジネスの連絡メールとして違和感なく受け入れられるのではないでしょうか?(ちなみに,ネットで検索したところ,電話番号は本物のJR東の電話番号のようです。)

ただ,個人を標的に入念に準備した攻撃でない限り,個々の事情に関係する「内容」についてまで完全に違和感をなくすことは困難です。

私が冒頭のフィッシングメールに違和感を感じたのも,客観的な外見ではなく,2年前にこのメールアドレスは取得していない,という非常に個別的な内容(①)からでした。内容に違和感を感じて,それを補強するための材料として,②のアドレスや,③のリンク先をチェックし,確信した,という流れです。

(なお,①〜③だけでお腹いっぱいなぐらいフィッシング確定なんですが,一応メールのヘッダを見たら,実際のメールの差出人はエストニアのVPSらしきサーバの「www」のようです。乗っ取られているのかもしれません。フォント名に簡体字が指定されていたので,本当の本当の差出人は中国からっぽいです。この辺は予想通りです。)

フリーメールのように,大量に宣伝メールが来るようなアドレスではれば,そもそも内容をしっかり読もうとも思わないかもしれません。しかし仕事のアドレスであれば,とりあえずざっと内容に目を通すと思います。その際に何か変だと感じたら,差出人やリンクのURLを必ずチェックする,という習慣付けをするだけで,フィッシング詐欺にひっかかるリスクは減らせるはずです(ゼロではないですが)。

SNSでプライベートを晒すことのリスク

個人を標的にした攻撃もありえる

さきほど,「個人を標的に入念に準備した攻撃でない限り,個々の事情に関係する「内容」についてまで完全に違和感をなくすことは困難です。」と述べましたが,資産家のリストが売買されうる時代です。

端的にいえば,お金持ち(あるいは,攻撃者にとって価値あるお金以外の「何か」にアクセスできる立場)であれば「個人を標的に」したフィッシングも,想定しておくべきかと思います。

SNSは攻撃者にとって宝の山

SNS等で自分のプライベートの情報を発信することは,例えばフィッシングメールを受信したときに,先に述べた「内容面」からの違和感を感じる機会をどんどん潰していくことになります。

攻撃者は,ターゲットのSNSを調べて,いかにも本人(と,正規の差出人)しか知らない情報を盛り込んでくることができます。すると,本来は違和感を感じるためのきっかけであった「内容」が,逆に,正規のメールだと騙される材料になってしまいます。

自己の情報に関するオープンクローズ戦略

ちなみに,私が冒頭に書いた違和感①から③ですが,本当はもう一つ違和感を感じた点があります。しかし,「これは書かないでおこう」と思ったために書いていません。

自分の情報を一切出さないこともなかなか難しいですが,情報を開示することのリスクも踏まえた上で,これはネットに書いてOK /ここはクローズにするという,自己の情報に関するオープンクローズ戦略を一人一人が意識して実践することが,ネット社会の便利さを享受しながら,リスクを遠ざけるのに必要な考え方のように思います。

IT法務全般・ソフトウェア・著作権伊藤英明
法律相談の
ご予約はこちら
TOP