フィッシング


 流石に、ユーザレベルも上がり、というか、教育訓練の賜物なのか。怪しいメールを開かない、という基本は、かなり浸透してきた。

 昔は、「メールはテキスト表示で。HTML形式は使わないで!」と、かなりシツコく説いていた牛尾であったが、今や、テキスト形式だけでのメールは死滅に近くなってしまった。お客様とのやり取りでも、文中『黄色マーカーした部分の』とか、平気で書かれてくるようになっている。これは受け入れるしかないのかもしれない。が、そこに潜むリスクが、どこまで浸透されているのかは、正直わからない。


 IT担当者の定期会議の席上で、一度問いかけてみることにした。


「HTML形式のメールで、みなさん、デフォルトでは画像が表示されないことがありますね。クリックすると、表示しても良いか、確認がでて、OKするとようやく表示されるやつです。あれ、なんでだか分かります?」

 手が上がる。

「画像が、メールに添付されてるのではなく、インターネット上に取りに行くから、ですよね」

「そうですね。さすがです。では、なんでインターネット上に取りに行くのは危険なのでしょうか?」

「悪意のあるサイトかもしれない、、アクセスしただけでウイルスに感染する可能性も否定できないですし」

「ありがとうございます。まずは、そのようなリスクをご理解いただくことが第一です。閲覧だけでウイルス感染というのは、セキュリティーホールを使った攻撃でなければ、そう簡単にはできませんが、それでも用心に越したことはありません。ただ、もう一つ、ご理解いただきたいのは、セキュリティーホールを使わなくても、簡単に個人情報を渡すことができてしまう、ということです」

 牛尾は具体例を話し始める。

「検索サイトから、ある悪意のあるページに誘導される場合と、メールで誘導される場合の、一番の違いは、メールの場合、『メールアドレス情報が必ずわかってしまう』ということです。検索エンジンからリンクでたどり着いた場合は、なんら皆さんの個人情報が伝わる余地はありません。もちろん、端末のIPアドレスとかがわかる、とかありますが、それらは基本的にはほとんど心配しなくて良いでしょう。

 しかし、メールの場合は違います。

 例えば、画像を添付しないで、どこかのサイトから取ってくる場合、そのアドレス:URLに、引数として送付したメールのアドレスを入れておくだけで、画像が開かれた瞬間、その画像が置いてあるサイトには、『どのメールアドレスのユーザがメールを開いたか』を教えることになるんです。HTMLの良い点は、見栄えが良い点ですが、難点は、見えていないところでは何をしているかわからない、という点です。ソースコードをみると、画像やリンク先に、メールアドレスが埋め込まれているのが見えたりします。大抵は、そのまま埋め込んだりしませんが、引数に、なにやら訳のわからない文字の羅列が付いていることがほとんどですが、そこには、皆さんのメールアドレスなどの情報が含まれていると考えて間違いありません」

 牛尾は、不安そうな顔の参加者を見て、ちょっと補足を入れる。

「あ、でも、ですね。この段階で、みなさん『リアル』個人に紐ついているわけではないです。通常、そういう引っ掛けメールは、いろんな方法で送られて来ますが、例えば、機械的にアドレスを生成するパターン。メールを送る側は、機械にやらせるわけですから、人名辞書や、プロバイダによっては固定長のアカウントだったりするので、機械的に可能性のあるメールアドレスを作り出すのは楽なものです。ですので、そういったメールが届いたからといって、必ずしもみなさんの個人情報が流れているわけではないのです。ただ、そこで、ポチッと画像を表示してしまうと、『このアカウントは存在している』という事実を渡してしまうことになるんです。そこから先は、色々、例えば、闇の『実在メールアドレスリスト』、『spamも開いてしまうリスト』みたいな裏データベースに載って、どんどん迷惑メールが来るようになったりします。その中で、興味をそそられて、つい、またクリックすると、嗜好までが、裏データベースに追加されていく、というわけです。ですので、まずは触らない、が肝心になるわけです」

 質問がでる。

「送信停止すればいいのではないですか?」

「オプトアウト、普通のきちんとした業者であれば当然OKです。でも、こういう迷惑メールは、ありとあらゆる方法で、実際に使われているアドレスなのかを確認してきます。ですので、あの、『unsubscribe』のリンク、あれをクリックすることには、『このアドレスを使っていますよ』という情報を出すだけで、他に何も価値がないと言って過言ではないです。そもそも、迷惑メールって、同じところから来ないでしょ?であれば、そもそも、登録を解除というコンセプト自体が存在するはずがないわけです」

「でも、本当の個人情報が抜かれていないなら、そんなに警戒しなくてもいいんじゃないんですか?」

「一事が万事です。フィッシングメールなんかも、この裏データベースを元に送られてきたりしますからね。もちろん、フィッシング組織が独自で機械的に送りつけることもありますが、フィッシングメールが来る可能性を高めることは確かだと言えます」

 話題をそのままフィッシングに移す。

「フィッシング、はご存知ですよね?

 みなさんが、IDとパスワードを登録しているサービスサイト、例えばSNSとかの管理者のふりをして、IDとパスワードを入力させて盗み出すものなんかがそうです。クレジットカード番号、なんてのもありますね。SNSでの、乗っ取られたアカウントから、友人への誹謗中傷が、自分の知らないところでやられていたり、銀行口座を乗っ取られて、預金を抜かれるなんてことになったら、大変です」

 また、質問が出る。

「フィッシングって、そんなに簡単に引っかかるんですか?大抵、変な日本語で、見ればわかると思うんですが」

「昔はそうでしたね。でも、今は日本語のフィッシングも、きちんとした日本語になってきています。きちんとした日本語、という言い方も変な話ですが」

 牛尾は事例を用意してあった。メジャーなコンピュータメーカーのサポートサイトからの案内である。いや、案内である『ように見える』。

「これ、ご覧ください。これ、本物でしょうか?」

 会場は、ざわざわしながらもては上がらない。

「梅本さん、どうです?」

 と指名してみた。

「んー、本物に見えますが、、、」

 牛尾は、うなづいて、もう一つの例を出し、二つ並べて聞いた。

「では、この二つを比べて見てください。違いはどこでしょうか?」

「文頭の宛名、、、ですか?」

「はい、ありがとうございます」

 牛尾は全員を見回し、説明をする。

「この二つ。メールの初めに「牛尾 満彦 様」があるかないか、だけが違います、見た目はですが。他はデザイン、レイアウト、全て一致しています。そして、この宛先がある方、これは本物です。宛先のない方。こちらはフィッシングです」

 会場はざわつく。構わず続ける。

「すごいですよね。ほぼ完璧ですから。

 では、そういうケースでも引っかからないようにする方法を考えて見ましょう。

 私は、なんでこちらがフィッシングだとわかったのか、をご紹介します。

 先ほどの梅本さんのお答えが、そのまま答えになるんですが、『フルネームの宛先が書いていなかった』からなんです。こういう業者さんは、必ず、文頭に登録名で『だれそれさま』というのをつけてきます。ただ、そういう約束があるわけではなく、通常は、というだけなので、念のため確認してみることにしたのですが、では、このメールに、『ログインはこちら』というアドレスの記載がありますね。このアドレスはどう見ても正しい。そして親切にもリンクがはってありますね。これクリックしちゃっていいでしょうか?ダメ、という人、いますか?」

 誰も手を上げない。

「これが、私が昔から、HTMLメールが嫌いな理由なんです。テキスト形式であれば、メールソフトによっては、記載されたアドレスを解釈して、自動的にリンクを張ってくれるものがあります。その場合は、『見えているアドレス』に接続するので安心です。でも、HTMLでは、実際のリンク先はみることができないんです。ですので、ソースで確認する以外に方法がないんです。普通はマウスを上にもってくると、リンク先がポップアップで出ますが、これ、手が滑るとポチっとやってしまうので、、あまりオススメはしません」

 梅本が手をあげる。

「じゃ、宛名が書いてなければ無視した方が良いんですか?でも、本当かもしれないので、心配ですよね、特に、アカウントの乗っ取りの可能性がある案内だったら。。」

「はい、決して無視はしない方が良いでしょう。本当かもしれないのですから。今日の最初の話とも関連しますが、とにかくメールから、Webに連携するのは避けるのが無難です。私は、こういうケースでは、メールから張られたリンクは一切使わずに、一からその業者のサイトにWebブラウザからはいってログインします。もちろん、DNSが偽装されていたらアウトですが、それは今回の話題の本道からはずれますので、今日は触れません。

 ほんの一手間。いやふた手間ですか。メールからクリックするのではなくて、ブラウザを立ち上げて、登録サイトを開く。それだけです。それによって、メールでのフィッシングに引っかかることを完璧に防ぐことができるんです」

 まとめにはいる。

「メールは便利です。ですが、メールには、特に最近はHTMLとか、見た目重視で、裏で何が仕込まれているかわからないツールになっているんです。ですので、メールからインターネットの他のリソースに移動することは避ける、これをとにかく肝に命じて欲しいのです」

「メールからクリックしないとできない、例えばクーポンサービスとかもあるんだけど、そういうのは諦めろってこと?」

「ぶっちゃけて言えば、諦めた方が良いと私は思います。あとは、自己責任です。たとえば、フィッシングを防ぐツールもあります。普通のウイルスソフトで対応できることもあります。例えば、データを入れるときに、正しいサイトかどうかの裏を取ってくれる。でも、私はそういうのは正直、信用していません。もちろん、通常使っていますが。どうしてもメールから、のときは、私は、一旦ソースコードを開くか、テキスト表示を許すものはテキスト表示して、リンク先のアドレスを確認した上で、リスクがないことが確認できたらアクセスするようにしています。一般のユーザに、そこまで要求することはできませんよね。ですので、諦めた方が良い、という意見なんです。

 あと、前にもこの会議の席で申し上げたことがありますが、httpsのサイトを使うときは、必ずアドレスの確認と、証明書の確認をやる癖をつけてください。慣れればほんの一手間で、どうということはありません。大事なご自身の資産を守るためですから」


 偉そうに講釈を垂れているが、実は牛尾は、先日、自分で決めているルールを、ついはずれてしまって、ウイルスを踏んでしまったばかりだった。SNSの「友達申請」メールがきて、直前までそのSNSに接続していて、友達申請がきていたのを対応しないままメール開いたので、つい、そのままクリックしてしまったのだった。タイミングが合いすぎていたので、つい、だったが、油断は大敵である。幸いにして、その踏んでしまったウイルス(実際にはウイルスサイト)は、ゼロデイではなく、ウイルスソフトが駆除してくれて、ウイルスソフトのアラートで気づいた始末である。焼きが回ったものだ、、、と牛尾自身もちょっと、落ち込む出来事であった。


 そろそろ、本業に専念すべき時が来たのか。

  • Twitterで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます

新規登録で充実の読書を

マイページ
読書の状況から作品を自動で分類して簡単に管理できる
小説の未読話数がひと目でわかり前回の続きから読める
フォローしたユーザーの活動を追える
通知
小説の更新や作者の新作の情報を受け取れる
閲覧履歴
以前読んだ小説が一覧で見つけやすい
新規ユーザー登録無料

アカウントをお持ちの方はログイン

カクヨムで可能な読書体験をくわしく知る