迷惑メールの傾向と対策
アクションありがとうございました。
電子メールを利用していると、頼んでもいないのに送り付けられるのが迷惑メールです。
皆さんは迷惑メールをどのくらい受信していますか?
私は多い時で月に千通を超える怪しげなメールを受信しています。
これまでたくさん見てきた迷惑メールに関して、色々と思ったことを書いて見ます。
まず、電子メールの歴史はそこそこ長いものがあります。
インターネットの初期の頃から電子メールのシステムは存在していました。
そして、細かな改善は行われているものの、基本的に同じ仕組みで現在まで利用されています。
現在使用されているものとは異なる仕組みの電子メールも存在しましたが、インターネットとセットで広まった電子メールは少し違った性格を持っていました。
例えば、インターネットの普及以前によく利用されていたパソコン通信でも電子メールの機能はありました。
しかし、パソコン通信における電子メールは、同じパソコン通信の利用者間でしかやり取りできません。
パソコン通信のサーバにアクセスして送信したいメール内容を登録し、同じサーバにアクセスして登録されたメールを受信します。
同じサーバを共有しているからメールが届きます。
似たような機能を持つパソコン通信であっても、別の組織(または個人)が運営する別のサービスのユーザに対してはメールは届きません。
大手のパソコン通信サービス同士が協力して相互にメールをやり取りする仕組みを導入することは可能でしょうけれども、それはあくまで連携の仕組みを取り入れた特別なサービスに限られます。
一方、インターネットの電子メールシステムは最初から異なるサーバ間で連携することを前提にしています。
企業の社員用のメール、学校で生徒に使わせるメール、個人で作成したメールアカウント。
それぞれ管理する組織は異なるのに、どこからどこに出しても電子メールはちゃんと届きます。
これって意外とすごいことなんです。
どこかの企業とどこかの大学が直接電子メールを連携する仕組みを導入したのではありません。
インターネットに接続して、その流儀に従ってメールサーバを構築しただけで、世界中どこの誰のメールアカウントに対しても電子メールが届くようになるのです。
パソコン通信にしても、需要があるのならどこかの企業か組織が旗振り役になって相互連携する標準的な仕組みが作られる未来があったかもしれません。
けれども、その前にインターネットが普及したので、インターネット上の電子メールシステムが世界を席巻しました。
インターネットの電子メールシステムが、こうも無節操に様々なメールサーバと連携する仕組みになっているのには理由があります。
インターネットは元々アメリカの軍用通信システムとして開発されました。
当時は米ソ冷戦の真っ最中でした。
核兵器を保有する二大超大国が全面戦争をすれば、人類は滅びます。
たとえ戦争に勝てたとしても自国も壊滅的なダメージを受ける勝者なき最終戦争。
自分が核兵器を使用すれば、相手も核兵器を使ってくる。そうなれば全面核戦争となり全てが終わる。だから核兵器は使えない。
それが核抑止力の考え方です。
けれども、この状況でも核兵器を使用して勝利を得る勝ち筋が一つあります。
それは、先制の核攻撃で相手の核攻撃能力を完全に失わせることです。
相手が核兵器で反撃してこなければ、全面核戦争にはならず、完全勝利も夢ではありません。
方法はいくつか考えられます。
最初の攻撃で核ミサイルの発射基地をすべて破壊する。
核攻撃の許可を出せる人間を真っ先に殺す。
指揮命令系統を破壊して攻撃命令が伝わらないようにする。
重要なことは、敵側だって同じことを考えるはずだから、対抗策も考えなければなりません。
核ミサイルの発射能力が全滅することを避けるために、原子力潜水艦に核ミサイルを搭載して海に潜らせました。
核ミサイルの発射ボタンを握る米大統領は、有事の際には飛行機に乗って空から指示を出します。
そして、指揮系統の喪失を防ぐために考えられたのが、簡単には壊れない通信ネットワークです。
通信回線の一部が破壊されても、生き残った回線を経由して可能な限り通信を途絶えさせない、そんな情報通信システムです。
そんなしぶとい通信網を作る場合、ネットワークの全てを管理し支配する中枢を作ることはできません。
その中枢が壊れると、ネットワーク全体が機能不全を起こす弱点となるからです。
電子メールのシステムも同様で、全てのメールを一括管理するサーバを作ることはできません。
一括管理すれば効率は良いのですが、そのメールサーバが壊れればメール機能の全てが失われてしまいます。
最高の効率を求めると、一ヵ所壊れれば全ての機能が失われることになります。
だから、全てのメールを管理するメールサーバを一台用意するのではなく、各組織、各部署が勝手に立てたメールサーバを自動的に相互連携する仕組みを作ったのです。
また、この方式ならばメールアカウントの管理もメールサーバを立てた組織や部署単位で分散して行うことができます。
この特徴によって、企業でも学校でもその他の組織でも、自由にメールサーバを立ててメールアカウントを作ることができ、しかも他の組織のメールサーバとも自動的に連携することを可能としました。
軍用の通信技術から民間で使用できるインターネットになり、世界中に普及するにつれて、電子メールのシステムもインターネット上の仕組みに統一されて行きました。
狭い範囲でしかやり取りできない電子メールよりも、より広い範囲で利用できる電子メールの方が好まれるでしょう。
独自方式で連携できる対象を増やして行くよりも、インターネットの電子メールシステムに連携してしまう方がずっと楽ですし。
しかし、インターネットの電子メールシステムは作られた時代が古い分、セキュリティに関してはあまり考慮されていません。
軍用に開発された技術でセキュリティが甘いというのは不思議かもしれませんが、技術と言うものはまず動くところから作られるものです。
電子メールならば、まず確実に相手に届くところから技術の開発が始まります。
その後、使ってみて発生した問題を一つ一つ解消しながら改良していくのです。
セキュリティの問題が大きく取り上げられるようになったのはずっと後、インターネットが普及して商用にも利用されるようになってからです。
インターネットの初期の段階ではセキュリティの意識は低く、そもそもどのようなセキュリティリスクが存在するかもよく分かっていませんでした。
そんな時期に作られた電子メールのシステムは、セキュリティをがっちりと固めるような作りにはなっていません。
余談ですが、コンピュータネットワークに不正侵入する犯罪者の事を「ハッカー」と呼ぶようになったのは、セキュリティ意識が低かった頃の事ではないかと思っています。
初期の頃のコンピュータは、ちょっと複雑な計算ができる計算機でしかありませんでした。
ソフトウエアとハードウエアの境界は曖昧で、別な計算をするために計算機を作り直したり配線を変えたりする代わりにプログラムを書き変えます。
計算機を設計するのも、プログラムを作るのも、コンピュータを操作するのもだいたいが技術者の仕事です。
汎用的なコンピュータが作られて様々な業務に利用されるようになると、技術者以外の一般の人もコンピュータを操作するようになります。
しかし、プログラムを作るのはあくまで技術者で、一般の人は決められた手順で決められた操作を行うだけでした。
正しく操作しなければ正しい結果は得られず、それで業務が止まれば困るのは自分なので下手なことはしません。
セキュリティなど考えなくても、システムを作った技術者(つまりシステムを守る側の人)以外に不正な操作を行う知識と技術を持った人はまずいなかったのです。
ところが何事にも例外があります。それがハッカーと呼ばれる人間です。
本来、ハッカーはコンピュータマニアの事です。
コンピュータの事が好きで、その構造や仕組みなどを興味本位で知りたがります。
与えられたシステムをマニュアル通りに使うだけでは飽き足らず、何をどうすればどうなるかを意味も無く調べ上げます。
教えていないことを勝手に調べ、非公開の機能を自力で探し出し、時には開発者も想定していない動作を見つけ出す。
それがハッカーです。
だから、不正アクセスのように「そんな機能は作っていない」と言うことをやってのけるのはハッカーに限られていたのです。
まあ、昔は「開発者」「一般人」「ハッカー」の三種類しかいなかったから、必然的に「犯人はハッカー」に決まってしまったのでしょう。
さて、電子メールのセキュリティ上の問題点はいくつかあります。
例えば、電子メールは平文で送られるので、他人に読まれないことを保証されません。
また、電子メールの送信元を偽ることもできます。
さらに、電子メールを中継するサーバのどこかに悪意ある細工が施されていれば、メールの内容を改竄することも理論的には可能です。
電子メールは手紙を電子化したものなので、郵便局員がその気になればはがきに書かれた文章を読んだり一筆書き加えることも可能だし、差出人の住所氏名を偽った手紙を出すこともできるのと同じことです。
まあ、大量に送受信され、どこからどのような経路を通るかもわからない電子メールの中から狙った一通を覗き見たり改竄したりすることはほぼ不可能でしょうけれど。
技術的に、セキュリティを強化したよりセキュアな電子メールシステムを構築することも可能です。
しかし、そのセキュアな電子メールシステムが普及するかどうかは別問題です。
セキュアな電子メールシステムを開発したとしても、既存の電子メールシステムと互換性が無ければ簡単には採用されません。
独自路線の電子メールシステムがインターネットの電子メールに吸収されたのと同じように、セキュアな電子メールシステムよりも多くの相手とやり取りできる旧来の電子メールが選ばれます。
従来の電子メールシステムと互換性のあるセキュアな電子メールシステムならば共存可能です。
ですが、共存しているということは、セキュアでない電子メールも送受信され続けるということです。
実際に、セキュアな電子メールのやり取りを行う仕組みは既に存在して、実装もされています。
S/MIMEと呼ばれる技術で、メールサーバ側の仕組みはそのままで、クライアント側のメールソフトの対応だけで暗号化による盗聴防止、電子署名によるなりすまし防止、メールの改竄検知が可能です。
主要なメールソフトはS/MIMEをサポートしているのでその気になれば利用できるのですが、使ったことの無い人も多いのではないでしょうか。
公開鍵方式の暗号を利用するので、公開鍵を作って電子証明書を用意する必要があるなどちょっと設定が面倒なのです。
暗号化はせずに電子署名によるなりすましや改竄の防止を行っただけのメールならば受信側は特に設定する必要は無いのですが、金融機関などから送られてくる一部のメールでしか見たことがありません。
結果として、世の中のほとんどの電子メールは、セキュリティなど気にせずに送受信されています。
このセキュリティのあまさが迷惑メールが無くならない一因ともなっています。
インターネットが一般に普及し、多くの人が利用するようになると、それをビジネスに利用しようとする人が現れます。
最初はWWWを利用して自社の商品などを公開することからでしょうか。
ネット通販が始まり、Webやメールによるユーザサポートが行われ、メールマガジン等も発行されるようになり、次第にインターネット上のビジネス利用は範囲を拡大していきます。
インターネットが一般に普及した初期の頃から利用されていたサービスが、電子メールとWWWです。
だいたい誰でも使えるから、ビジネス利用においてもこの二つが主要なツールとなりました。
サーバを構築したら後は人が来るのを待つだけのWWWに対して、電子メールは能動的に相手に働きかけることができます。
そこで、電子メールを広告に用いる人が現れました。
メールマガジンもそうですし、ユーザ登録した相手に新商品の案内を送ったりもします。
従来は紙に書いて郵送していたものを電子メールに置き換えた形です。
電子メールは紙媒体に比べると表現の自由度が低いという欠点があります。
今ではHTMLメールを使用することでだいぶ表現豊かになりましたが、本来電子メールで送ることができるのは文字だけです。
実は電子メールのプロトコルとしては添付ファイルを送る仕組みも存在していません。
昔は添付ファイルを送信したければ、バイナリファイルをツールを使って文字列だけのデータに変換してメールに貼り付けていました。
いま普通に添付ファイルを電子メールで送れるのは、メールソフトが自動でファイルを文字列データに変換したり戻したりしているからです。
HTMLメールもメールソフトがHTMLを解釈してWebブラウザのように表示しているだけで、メールソフトが対応していなければただHTMLのソースが表示されるだけです。
昔はHTMLメールに対応していない環境で見ることも考慮しなければならなかったので、純粋にテキストだけでメールを書かなければなりませんでした。
ただ、そうしたデメリットがあってもなお電子メールで広告を行うメリットがありました。
コストが非常に安いのです。
電子メールの送信に、郵便料金は不要です。
せいぜいコンピュータとネットワーク機器を動かす電気代と通信回線の費用くらいです。企業活動としては微々たるものです。
広告内容を印刷する必要も無く、印刷した紙を封筒に入れる手間が省けます。
手間の多さはそのまま人件費となります。
封筒にチラシを詰め込む作業を延々と何百通も行う手間を考えてみてください。作業にかかる総時間が人件費です。
電子メールの場合、同じ内容のメールを何百通だろうと自動で送る仕組みを簡単に作ることができます。
紙のダイレクトメールは送付先が増えるほどに郵便代、人件費が増大し、紙や印刷の費用もバカにならなくなってきます。
電子メールの場合は送信先の数が増えてもコストはさほど変わらないので、送付する件数が増えるほどコストパフェ―マンスが良くなります。
つまり、電子メールによる宣伝は非常に安上がりで、数を多く送れる分高い効果も見込める良い手法なのです。
しかし、便利な技術は悪用する際にもとても便利なものです。
広告の効果を高めるためには、なるべく多くの人の目に触れることが求められます。
電子メールによる広告は数を増やしてもコストがほとんど変わらないので、あまり見込みの無い相手に対してもとりあえず送信することができます。
そうして広告を送信する対象を無理やり広げていくと、ユーザ登録をしたり広告メールを希望していない人に対しても、とりあえずメールアドレスを入手したら無差別に広告メールを送信する、と言う方針になって行きます。
迷惑メールの始まりです。
インターネット以前にも人の住所氏名電話番号を集める名簿屋が存在して、知らない会社等からダイレクトメールが届いたり、勧誘の電話がかかってきたりすることがありました。
電子メールの場合はもっと手軽でメールアドレスさえ分かれば相手の氏名すら知らなくても送信することができます。
メールアドレスのリストさえあれば、相手の氏名どころか性別すらわからないままに広告メールを送り付けることができるのです。
そして、そんなメールアドレスのリストがあちこちに出回ってしまうと、各所から大量の広告メールが届くことになります。
実際に、インターネット上に大量の迷惑メールが出回ることになりました。
メールアドレスのリストどころか、実在しないメールアドレスも含めて推測やあてずっぽうでメールアドレスを作って送るようなことも行われたようです。
大量の迷惑メールが届くことで本人の必要とするメールが埋もれて見落としてしまうなんてことにもなりかねません。
この問題に対し、日本ではかつてこんなルールが作られました。
・メールのタイトルに「未承諾広告※」という文言を付ける。
・送信元のメールアドレス、送信者名、受信拒否の連絡を受けるためのメールアドレスを明記すること。
・受信拒否を通知した者に対するメールの配信を直ちに停止する。
こうしたルールを法律で定め、違反した業者には行政指導が行われます。
これは、オプトアウト方式と呼ばれ、拒否されたら配信を止める、拒否する手段を明示すると言うルールです。
また、タイトルに「未承諾広告※」と言う同じ文言を付けることで、メールソフト側の機能で広告メールを別フォルダに振り分けることもできます。
しかし、この政策は上手くいきませんでした。
そもそも、世間一般から迷惑だと思われている行為を安易に行えば企業のイメージを損なうことになりかねません。
名の売れた一流企業、それなりに伝統ある企業は企業イメージを悪化させるような真似はしません。
そもそも迷惑な広告ルールを送り付けるだけで、送信を止められなくなるほど大きな利益が上がるわけでもありません。
だから、迷惑メールで広告を行うような企業は、損なわれるほどの企業イメージを持たない新興の企業、長く続ける気の無いような企業が中心となります。
グレーゾーンの黒寄りの企業です。
ルール違反した企業に行政指導を行おうとしたら、既に潰れていたなどと言うこともあったそうです。
さらに、タイトルに付ける「未承諾広告※」の文字も、「未 承 諾 広 告 ※」のように小細工をして別フォルダに振り分けられないようにすることも行われました。
また、「未承諾広告※」と書けば拒否されるまでは一方的に広告メールを送り付けてよいということになるので、かえって迷惑メールの送信を助長する恐れもありました。
そんなわけで、2002年に始まったこのルールは2008年には法改正されて、「未承諾広告※」と付けても勝手に広告メールを送り付けることは禁止されました。
拒否されたら送信を止めるオプトアウト方式から、許可を得れば送信しても良いというオプトイン方式に変わったのです。
それでも、取り締まるにも限界はあるし、海外から送られてくるメールには対応しきれない面もあるので、今でも迷惑メールは送られ続けていますが。
迷惑メールの内容も年代によって結構系統が変わっています。
昔の迷惑メールは出会い系サイトの宣伝が多かったような印象があります。
私は出会い系サイトを利用したことは無いので実態はよく知らないのですが、怪しいもしくはいかがわしいイメージがあります。
真面目な婚活サイトも数多くあるのでしょうが、迷惑メールとして送られてくるのは遊び相手としての異性、もっと言えば「エッチな女の子と出会えますよ」と言った内容の宣伝が行われます。
個人的に印象に残っているのは、「サクラ完全排除」とか書かれていた出会い系サイトの迷惑メールです。
普通サクラと言うのは自然発生的に湧いて出るものではなく、運営側が盛り上がっているように装うために用意するものです。
業界用語的なものがあるのかもしれませんが、サクラだらけで出会うことのできない怪しい出会い系の実態が窺い知れます。
ただ、その迷惑メールで示された出会い系サイトは実在し、それっぽいシステムが動いていたのだろうと思います。
サクラばかりで本当に出会えることは無いかも知れませんが。
メールやチャットで会話する相手が本当に女の子だとは限りませんが。
あっという間にサービス終了で閉鎖されてしまうかもしれませんが。
それでも一応は広告メールの体裁をしていたのだと思います。
その後、あからさまに詐欺っぽい迷惑メールが増えて行きました。
キーワードは「金」と「エロ」です。
長く不況が続いたせいか、簡単確実に稼げる方法を教えるとか、簡単で稼げる副業とか、もっと直接的にお金をあげるとか、いかにも詐欺っぽいです。
審査なしで即融資、みたいなメールもありましたが、詐欺じゃなくても闇金の疑いがあります。
エロ系では、出会い系の延長線上みたいな感じで登録していないサイトから新着メールのお知らせとか、女の子らしき名前でLINEでの連絡を求めるメールとか、AVっぽい動画と称するリンクを張ったメールとか。
変わったところでは、興信所か何かからの誤送信に見せかけて、「浮気の証拠写真」と称するリンクを張ったメールを見たこともあります。
この「金」と「エロ」を融合させると、女性から「お金を受け取ってください」みたいな話を作ることになります。
昔、「主人がオオアリクイに殺されて1年が過ぎました」と言う件名の迷惑メールが届いたことがありました。
一時期かなり話題になったので聞いたことのある人、実際にメールを受け取ったことのある人もいるかもしれません。
この迷惑メールの内容は、亡くなった夫の事が色々と語られますが、最終的には欲求不満の若い未亡人がお金を出すから夜の相手をして欲しい、的なものです。
見事に「金」と「エロ」です。若くてモテなくて貧乏な男性ならばついつい気になってしまうでしょう。
ただ、シンガポールに出稼ぎに行ってオオアリクイに殺された旦那さんのインパクトが強烈で、それ以外の事がかすんでいる気もしますが。
迷惑メールなどと言うものはどれもこれも似たり寄ったりの内容が多いのですが、たまにこうした無駄に凝った話を作る迷惑メールも存在します。
私が見かけた凝った内容の迷惑ルールの中に、一連の複数のメールを送り付けて来るものがありました。
最初は間違いを装ったメールが届きました。父親と連絡しようとして焦っているような内容でした。
そんなメールが二、三通来た後に誤送信に気付いた体で謝罪とお礼のメールが来ました。
その父親を名乗る相手からのメールも来て、「あなたのおかげで云々」とお礼をしたいと言ってきました。
私、完全に無視して何の反応も返さなかったのですけど。
最後に、その謝礼として贈られたらしきポイントを受け取るためにユーザ登録を促すメールが届きました。
たぶん、怪しい出会い系に類するシステムへのお誘いなのでしょう。
オオアリクイにしても連作迷惑メールにしても、なかなかの力作だと思います。
ただ、色々とツッコミどころが多くて、引っ掛かった人がいるのかはよく知りません。
労力に見合わなかったのか、最近はこの手の凝った話を作る迷惑メールをあまり見ない気がします。
私のところにと届いていないだけかもしれませんが。
代わりに増えたのが、フィッシング詐欺のメールです。
フィッシング詐欺は実在のまともな企業や団体になりすまして、不当に何らかの情報を引き出したり架空の料金を支払わせようとします。
なりすます対象は多種多様です。
ショップ関係、クレジットカード関連、銀行、証券会社、宅配業者、JR、ETC、NHK、税務署、警察等々。
東京電力、東京ガス、東京都水道局とインフラ系も揃っています。電気ガスはともかく東京都水道局は東京ローカルすぎるせいか一通しか来たことはありませんが。
ショップ系では知名度の高さからかAmazonがダントツで多いです。
私は個人的に、「Amazonを見たらフィッシング詐欺と思え!」と言う認識です。
Amazon以外にもイオンや楽天もよく見かけます。
ただし、イオンはイオンモールではなくイオンカードやイオン銀行、イオンファイナンシャルサービス等、クレジットカード会社として送られてくるメールがほとんどでした。
一度「永旺銀行」と名乗るメールが来たことがあるのですが、調べてみると「永旺」は中国でイオンのことだそうです。
楽天の方は、楽天市場、楽天カード、楽天証券と各種送られてきます。
クレジットカード関連は多種多様です。
信販系、銀行系、流通系、交通系、ネット系と様々な種類のクレジットカード会社を名乗るメールが送られてきます。
有名なクレジットカードだけでなく、知らなければ「こんなカードがあったのか」と思うようなクレジットカードを名乗るメールもたまに来ます。
銀行からのメールを装う場合も、内容的にはクレジットカードの場合もあります。
クレジットカード関連のメールが多い理由は、フィッシング詐欺で盗み取ろうとしている情報の一つがクレジットカード情報だからだと思います。
クレジットカードの情報はそれだけで金になります。
カードの番号と有効期限、名義、セキュリティーコードが分かればクレジットカード会社から金を引き出せます。あるいは他人名義のクレジットカードで買い物をして商品を転売する方法もあります。
クレジットカード会社に届け出ればそれ以降の被害を防ぐことはできますが、その前に金や商品を手に入れれば犯罪は成功してしまいます。
メールに記載されたリンクを迂闊にクリックすると偽のサイトに誘導されてクレジットカード情報を入力するように促されるのでしょう。
私はそんな怪しいリンクをクリックしたことは無いので、偽サイトの実物を見たことはありませんが。
クレジットカード会社に限らず、ネットショップならば支払い用にクレジットカード情報を入力することは普通に行われています。
ネットショップ以外でも何らかの支払いが生じるならばクレジット決済と称してクレジットカード情報の入力を求めるでしょう。
宅配業者なら送料や再配送手数料、NHKなら受信料、税務署を名乗って未納の税金があると請求してくる場合もあります。
表示された金額は少額でも、一度悪意ある者にクレジットカード情報を渡してしまえばどれだけの金額を使われてしまうか分かりません。
クレジットカード情報以外で狙われるのは、詐称したシステムに対するログインID・パスワードでしょう。
本人に成りすましてログインできれば、そのシステムに登録した個人情報を盗み見たり、当人のふりをしてシステムを操作することができます。
最近はセキュリティも強化されているので、本人のアカウントでログインしても決済用に登録したクレジットカード情報がそのまま見えてしまうことは無いでしょう。
ですが、ネットショップのアカウントを盗まれたら登録したクレジットカードで勝手に買い物される危険はあります。
金融機関のアカウントを盗まれたら、直接お金の操作を行われる恐れもあります。
証券会社なら、株価の操作などの不正行為に利用されるかもしれません。
SNSのアカウントが乗っ取られたら世論操作のためのデマを拡散するために利用されるかもしれません。
もちろん、パスワードが知られただけで何もかも好き放題されるとは限りません。
特にお金のやり取りに関わる部分では第二パスワードとかワンタイムパスワードとかが必要になったり、二要素認証でパスワードだけではログインできないようになっている場合もあります。
けれども、そうしたセキュリティーを突破して不正利用しようとするのがフィッシング詐欺です。二要素認証でもワンタイムパスワードでもあの手この手で入力させようとするでしょう。
最近では、相手が引っかかったらリアルタイムで対応するようなフィッシング詐欺も存在するそうで、入力したワンタイムパスワードが有効なうちに勝手に送金されてしまうなんてことにもなりかねません。
それに、不正操作で直接の被害を受けなくても、クレジットカード情報を盗まれなくても、それだけで安心できません。
なりすましでログインされるだけで、そのシステムに登録されている住所氏名電話番号等の個人情報を知られる恐れがあります。
メールアドレスに紐づけて空れる個人情報が、フィッシング詐欺に引っ掛かった迂闊な人間のリストとして裏で出回ることになりかねません。
その場では被害は無くても、詐欺に狙われやすくなるという大きなリスクがあります。
フィッシング詐欺には引っ掛からないように、くれぐれも注意しましょう。
ここからは、私が迷惑メールを見分けているポイントを紹介します。
メールを確認する際のポイントは、送信元(From)、宛先(To、Cc)、件名(Subject)、本文です。
・送信元(From)
まず見るべきは、誰から送信されたのかを示す送信元の情報です。
ここを見るだけでも八割~九割は迷惑メールの見当をつけることができます。
心当たりのない相手からのメールは基本的に迷惑メールです。
不特定多数からのメールを受け付ける環境の人とか、創作活動をしていて企業からのオファー待ちの人とかになるとまたややこしくなりますが、それでも「絶対に関係ないだろう」という相手は送信元を見ただけで弾くことができます。
持っていないクレジットカード、口座を開設していない銀行や証券会社、利用していないサービスを名乗るメールが来てもおかしいとすぐに気付くでしょう。
利用しているサービスとか口座を開設した銀行などでも、メールアドレスを登録していないのにメールが来たならば詐欺を疑いましょう。
もしも本当に名乗った通りの企業から来たメールだとしても、教えてもいないメールアドレスに一方的に送り付けた来たのならば違法な迷惑メールです。
問題は、メールが送られてくる心当たりのある相手になりすました迷惑メールです。
ただ、送信元を偽装しても見分けられる場合もあります。
企業から送られてくるメールは送信元の表記もだいたい統一していることが多いのですが、質より量で送られてくる迷惑メールの場合その辺りがいいかげんなことも多いです。
例えば、Amazonを名乗るメールの場合、差出人の表記として以下のようなものを見たことがあります。
Amazon.co.jp、amazon.co.jp、Amazon、amazon、「Amazon」、アマゾン
企業からの本当のメールでも内容によって使い分けていたり、ある時期から表記を変えたりすることもあるので絶対ではありませんが、いつもと違う名称で届いたメールは疑ってかかりましょう。
それから、最近は送信元がこんな名称の詐欺メールもあります。
A͎mazon.co.jp
よく見ると一文字目は、Aの下に何か記号が付いたような文字です。
この手の似て非なる文字を使用するのは、迷惑メールフィルターにかからないための小細工でしょう。
人の目からはAmazonに見えるけれど、機械的には全く別の文字が入っているのでAmazonを詐称したメールとは判定され難くなります。
このように人を騙す意図の入っているメールは詐欺メールと判断して構わないでしょう。
さて、電子メールの送信元に関しては、もう一つ重要な情報があります。
電子メールの送信元はこんな感じに表示されているはずです。
表示名 <メールアドレス>
表示名の部分は人が見て誰から送られてきたメールなのかを判断するための名称です。
メールアドレスはメールシステムがそのメールをどこに届ければよいのかを判断するための識別名です。
表示名の方は人が見て分かればよいので表記に揺らぎがあっても、多少間違えていても人が見て分かれば問題ありません。
一方、メールアドレスは機械が処理するので一文字でも間違っていたら正しく相手に届きません。
だから、メールアドレスの方を見れば相手が本物かどうかは一目瞭然……とはなりません。
残念ながら、送信元の表示名もメールアドレスも、送信者側で設定したものを表示しているだけなのでいくらでも偽造可能です。
電子メールを送信する際には送信元のメールアドレスは処理に使用していないので、送信元として間違ったメールアドレスを設定してもメールは送信できるし相手に届きます。
もちろん、正しいメールアドレスを設定しなければそのメールに対する返信は届きません。
メールに対する返信を期待するのならば自分が受け取れるメールアドレスを設定しなければなりませんが、記載したリンクをクリックさせることが目的の詐欺メールの場合は返信を受け取る必要がありません。
つまり、送信元の表示を完全に詐称する企業から発信される電子メールと同じにすることができます。
ただ、それでも送信元のメールアドレスを確認する意味はあります。
フィッシング詐欺がターゲットとしているのは、細かな不自然な部分を見逃してうっかり本物と信じ込んで色々入力してしまう人です。
それよりも重要なことは、迷惑メールフィルターに弾かれないことです。
年々数を増やして行く迷惑メールに、何の対策も行われていないわけではありません。
余計な負荷を強いられるメールサーバ側でも迷惑メールの送信を拒否する仕組みが導入されて行きました。
以前、Amazonから送信されるメールと全く同じメールアドレスを送信元に設定して送って来る迷惑メールが大量に届いたことがありました。
しかし、ある時期を境にそれがばったりと途絶えました。完全になくなったわけではありませんが、量が激減したのです。
たぶん、対策されたのでしょう。
AmazonからのメールはAmazon社内のメールサーバから送信されます。それ以外のメールサーバから送信することはないし、セキュリティー上やってはいけないことです。
だから、Amazon社のメールサーバでもないのにAmazonからのメールに特有の送信元メールアドレスが設定されていたら、Amazonからのメールに偽装した迷惑メールであると簡単に判定することができます。
そうした、機械的な迷惑メール対策を回避するために、最近は普通には用いられないような、実在しないメールアドレスをでっちあげて送信元メールアドレスとすることが多いようです。
使用するメールアドレスが多種多様だったり頻繁に変わったりした方が迷惑メールを判定するブラックリストに乗ることがないから確実に相手に届く。そんな判断なのだと思います。
送信元のメールアドレスを見れば送信元を偽造したなりすましのメールであると判定できるケースは多いです。
メールアドレスは次のような形式で記述されます。
aaaa@bbb.ccc.dd
このうち、「@」の左側の「aaaa」の部分はメールのアカウントを管理する組織・団体が自由に付けられる名前です。
「@」の右側の「bbb.ccc.dd」の部分はドメイン名と呼ばれ、インターネット上の場所(接続先の機器)を示す名前です。
ドメイン名は「.」で区切られた複数の単語を繋げた形になっています。
また、ドメイン名は階層構造になっていて、右側の単語ほど広い範囲を表しています。
例に挙げた「bbb.ccc.dd」の場合、「dd」の中の「ccc」、「ccc.dd」の中の「bbb」と言う意味になります。
ドメイン名の右端の単語はトップレベルドメイン(TLD)と呼ばれていて、インターネット全体で決められていて勝手に追加することはできません。
有名なものとしては「.com」とか「.net」がありますが、そのほかに国別コードトップレベルドメイン(ccTLD)と呼ばれて国や地域毎に割り振られた名称があります。
日本ならば「.jp」、イギリスは「.uk」、中国は「.cn」、ロシアが「.ru」等となっています。
アメリカ用の「.us」もありますが、インターネット発祥の地であるアメリカでは「.com」「.net」「.gov」等を直接使って「.us」はあまり使用されていないようです。
国別のTLDの下にも大まかな分類を行うドメイン名があります。
日本の場合は、企業向けの「co.jp」、大学など教育機関向けの「ac.jp」、政府機関用の「go.jp」などがあります。
日本の企業のメールアドレスならば、「企業名.co.jp」あるいは「企業名.jp」、国際的に活動する企業ならば「企業名.com」を使用することが多いです。
たまに「.net」等のドメイン名でメールを送ってくる場合などもありますが、取得したドメイン名をコロコロと変えることは普通ないので、普段電子メールを送って来る時の送信元メールアドレスを把握しておけばあからさまな偽メールは簡単に見抜くことができます。
重要なことは、メールアドレスの右側です。
メールアドレスの「@」の左側の名前はメールアカウントを管理する組織が自由に付けられるので、メールの内容や目的に応じて変えることはよくあります。
ドメイン名にしても、企業として取得したドメイン名に名称を追加して部署毎のドメインを作ったりもします。
ただし、ドメイン名に名称を追加できるのは左側だけです。
だから、メールアドレスは右端から確認すると良いです。
メールアドレスの左側の方は同じ企業でも変わることがありますが、右側の方は一致するはずです。
ドメイン名の、特に会社名が書かれている辺りから右側が一致しなければ偽メールです。
たまに「企業名.co.jp」「企業名.jp」「企業名.com」等の複数のドメイン名を取得していて使い分けている場合もありますが。
特に、一番右が国を表すccTLDになっている場合、日本の企業や組織なのに「.cn」(中国)とか「.ru」(ロシア)になっているものは確実に偽物です。
実際に、税務署(e-Tax)を名乗っているのに送信元メールアドレスが「.cn」で終わっている迷惑メールが何通も来ています。
迷惑メールの送信元として使用されるメールアドレスには幾つかパターンがあります。
偽装先の企業や組織が使用しているメールアドレスをそのまま使うもの。
偽装先とは無関係の実在していそうなメールアドレスを使うもの。
送信先のメールアドレスをそのまま送信元に使用するもの。
完全に意味の無い文字列や数字を組み合わせたもの。
適当な単語を組み合わせたやたらと長いメールアドレス。
実在しそうなメールアドレスの中に謎の数字や文字列を埋め込んだようなメールアドレス。
複数の単語を組み合わせて長くしたり意味の無い数字や文字列を組み込むのは、迷惑メールフィルターにかからないようにするためでしょう。
決まり切ったメールアドレスばかり使っていると、迷惑メールフィルターによる対処もやり易くなります。
ついでに、表示名やメールアドレスが長くなると、送信元メールアドレスの表示が途中で切れてドメイン名の確認がし難くなる効果もあります。故意にやっているのかどうかは分かりませんが。
無駄に長いメールアドレスは、偽物を疑いましょう。
単語を組み合わせる方式の応用として、「@」の左側の部分に偽装する企業や団体の名前を埋め込むケースもあります。
例えば、Amazonからのメールに偽装する場合、「Amazon.xxxx@xxxx.xxx」とか「Amazon.co.jp@xxxx.xx」みたいな書き方です。
ぱっと見で「Amazon」という単語が目に入ったからAmazonからのメールだと思い込んでしまう人もいるのかもしれません。
また、送信先のメールアドレスを送信元として使用すると言うのも凶悪な方法で、サーバ側でそのメールドレスからの送信を拒否してしまうと、迷惑メールを送り付けられた被害者側がメールを送信することができなくなってしまいます。
ただ、このパターンは送信元のメールアドレスが決まっているので、メールソフトの機能で別フォルダに隔離すすることも容易です。
私はメールを送信する際には自分自身にもCcで送るようにしているのですが、自分の送信したメールが迷惑メールフォルダに送られてしまうのはちょっと悲しいものがあります。
実在する無関係なメールアドレスを勝手に使用して送られてくるメールもとても迷惑です。
実在するメールアドレスそのものではなく、ドメイン名だけ実在するらしいものを騙る迷惑メールも多数あります。
印象に残ったものをいくつか挙げてみます。
「@accounts.nintendo.com」
任天堂でも任天堂を騙るメールでもありません。Amazon、Apple、楽天、クレジットカード各種、様々な企業を詐称する迷惑メールに使われています。
「@costcojapan.jp」
コストコジャパンと読めますが、コストコの日本法人のドメイン名は「costco.co.jp」だそうです。
このドメイン名を使用した迷惑メールも様々な迷惑メールに使用されています。
「@classi.jp」
Classiは学習支援関係のオンラインサービスのようです。内容的に全く無関係な様々な迷惑メールに使用されています。
「@creema.jp」
株式会社クリーマのドメイン名。ハンドメイドマーケットプレイスだそうですけれど、やはり無関係の迷惑メールに使用されています。
Amazon、東京電力、ヤマト運輸、クレジットカード各種等々。結構な数の迷惑メールに使われています。
「@fujisankikurage.com」
富士山きくらげと読めますが、きくらげを売っている会社のようです。
比較的最近見かけるようになったもので、Apple、ANA、クレジットカード各種、証券会社各種を語る迷惑メールで見かけました。
いずれも、迷惑メールを送信している者が勝手に使用しているだけなので、そのドメイン名を使用している企業に問い合わせたり抗議したりしても全く意味がありません。
むしろ、該当企業と無関係な内容のメールがほとんどなのでなりすましを見分けやすいと思った方が得です。
送信元のなりすましを防ぐ方法として、S/MIME技術を利用して電子署名を付ける方法があります。
Outlookならば赤いリボンのマークの付いたメールが電子署名付きのメールです。
しかし、電子署名付きのメールを作成するには、認証局(証明書発行機関)から証明書と鍵ペアを入手して設定する必要があるので手間と金がかかります。
今のところ、一部の金融機関などでしか電子署名付きのメールを見たことはありません。
今後は電子署名付きのメールも増えるかもしれませんが、そうなった時に気を付けなければならないことがあります。
電子署名を付けた迷惑メールが登場しない保証はないのです。
電子証明書を付けることでメールの内容が改竄されていないかを検証することはできますが、送信者が嘘の内容を書いていないかまでは保証されません。
実態のないペーパーカンパニーを作ってその名義で電子証明書を取得し、全く関係のない企業を名乗ったメールに証明書を付けることも可能です。
証明書の情報を確認すればすぐにばれる嘘ですが、確認しなければ気付きません。
少し調べればおかしいと気付く、無関係な送信元メールで送られてくる迷惑メールが後を絶たないのと同じことです。
また、証明書の内容の正しさは、認証局がしっかりと確認して証明書を発行することで成立します。
もしも、金さえ払えば仔細気にせず申請した内容そのままで証明書を発行するいいかげんな認証局が乱立すれば、証明書に記載されたメールアドレスや組織名も当てにならなくなってきます。
慎重を期すならば、証明書に記載された電子証明書の発行機関も確認して信用できるところなのかを見極める必要があります。
電子署名付きのメールを送るためには手間も費用もかかるため、今のところ電子署名付きの迷惑メールを見たことはありません。
しかし、企業からのメールには電子署名を付けることが当たり前になって、電子署名の付いていないメールは詐欺メールだと認識されるようになれば、いずれは電子署名付きの迷惑メールも登場するでしょう。
電子署名を偽造することは技術的に困難ですが、高度な技術を用いなくても人を騙す方法はいくらでも存在します。
メールに赤いリボン(電子署名)が付いているから絶対に大丈夫、と言う安直な思い込みはしない方が良いです。
・宛先(To、Cc)
ちゃんとメールが届いているのだから、あて先は自分のメールアドレスに決まっている、と思うかもしれませんが、よく見るとそれなりの情報が存在する場合もあります。
まず、最近では一人で複数のメールアドレスを持っている人も多いでしょう。
ものによっては、同じメールアカウントに対して別名が付けられたり、メール転送機能によって複数のメールアドレスに届いたメールを一括して受信できるようにしている場合もあります。
そのような環境にしている場合、どのメールアドレスに届いたメールであるかを確認してみてください。
特に目的に応じてメールアドレスを使い分けている人ならば、メールの送り主の表示が宛先に使用されているメールアドレスの使用目的に対応した相手であるかを見ます。
心当たりのある相手を名乗るメールでも、その相手に伝えていないメールアドレスに届いたのならば心当たりのないメールです。
そもそも、宛先(To)に自分のメールアドレスが記載されているかも確認しましょう。
宛先に書かれていないメールアドレスに対してメールを送る方法はいくつかあります。
CcやBccにメールアドレスを記載する方法。
メーリングリストを使用する方法。
メール転送機能を利用する方法。
Ccはカーボンコピーの略で、送信したメールコピーを別の相手にも送付すると言う意味です。
Bccはブラインドカーボンコピーの略で、Ccとほぼ同様なのですが、Bccで指定したメールアドレスは受け取ったメールには記載されません。
メーリングリストは、専用のメールアドレスに送られたメールをリストに記載された全員に送る仕組みです。宛先にはメーリングリストのメールアドレスが表示されます。
メール転送機能は、あるメールアドレスに来たメールを別のメールアドレスに転送する機能です。そうした機能を提供しているメールサービスも存在します。
他にも方法はあるかもしれませんが、実のところ詐欺メールで宛先を偽造する意味はあまりありません。
せいぜい間違いメールのふりをしてクリックさせるとか、宛先のメールアドレスから機械的に迷惑メールと判定されることを防ぐとかいう程度でしょうか。
宛先そのものが何も記載されていない迷惑メールを受け取ったこともあります。たぶんBccを使用したのだと思いますが、何の意図があったのかは不明です。
基本的に、宛先が自分ではないメールに何か反応する義理はありません。
あるとしても仲間内でやり取りしているメールに対してのみで、誰に宛てて送られたのかも不明なメールは無視するのが一番です。
それから、宛先(To)やCcに関してはもう一点、自分以外のメールアドレスも記載されていないかにも気を付けましょう。
宛先(To)やCcには複数のメールアドレスを指定することができます。
ただし、同じメールの宛先(To)やCcに記載してよいのは、互いに知っている関係者に限られます。
これはシステム上のルールではなく、セキュリティ上の要請です。
宛先(To)やCcに記載されたメールアドレスは、メールを受け取った全員が見ることのできる情報です。
そこに見知らぬ人のメールアドレスがあれば、同じメールを受け取る立場にある見知らぬ誰かのメールアドレスを知ることができます。
同時に、見知らぬ誰かに自分のメールアドレスを知られることになります。
メールアドレスだけとはいえ個人情報の一端が知られることは問題です。
特に企業が顧客に対しと行うと、顧客情報の一部をばらまく行為になるので大問題です。
なりすましでなかったとしても、そんな不祥事案件のメールに付き合う必要はありません。
一方、なりすましの詐欺メールを送って来る連中にはモラルもマナーもありませんから、宛先に多数のメールアドレスを無造作に並べたメールを送り付けて来ることもあります。
そこに並んだメールアドレスが全て実在するとは限りませんが。
いずれにしても、宛先に知らないメールアドレスが並んでいるメールは無視するに限ります。
・件名(Subject)
・本文
送信元や宛先を見てある程度絞った後は、最終的には内容を確認して本物かどうか判断することになります。
しかし、この手の詐欺メールの内容は多種多様で、しかも日々新しいパターンが生まれています。
だから、「こう言う内容でなければ絶対にフィッシング詐欺ではない」と言い切ることはできません。
ですが、詐欺メールに多く見られる共通の特徴と言うものも存在します。
フィッシング詐欺に限らず、詐欺の常套手段として相手を慌てさせて正常な判断力を奪うと言うものがあります。
電話で掛かって来る特殊詐欺の場合、警察や弁護士など普段は馴染みのない身分を名乗ったり、「お子さんが事故を起こした」「息子さんが会社の金を使い込んだ」など事実なら大きな問題になりそうなことを言って慌てさせようとします。
詐欺メールの場合も同様で、件名に【重要】と付けたり、「アカウントがロックされる」とか「口座に理由制限がかかった」とか言って慌てさせようとします。
クレジットカードの利用通知を装って、身に覚えのない商品購入の支払いが行われている! と焦らせるメールもあります。
もう一つよくある手口が、時間制限を設けてじっくり考える暇を与えない手法です。
還付金詐欺では、「今日中に手続きをすれば還付金を受けられる」と言ってATMを操作させたりします。
詐欺メールでも、件名に【至急】【緊急】と付けたり、何日以内とか、24時間以内とか時間制限を付けて対応するように書いてあるケースがあります。
この、時間制限をかけることで正常な判断力を鈍らせようとする手法は、実は詐欺以外でも用いられています。
期間限定、タイムセール、本日限りの大特価!
こうした謳い文句は詐欺まがいの悪徳商法だけではなく一般的な店で行われていますが、これらの売り文句は「今買わなければならない」という気持ちを高めて不必要な消費を促そうという戦略です。
せかされたからと言って、騙されないように気を付けましょう。
【重要】も【至急】も詐欺ではない本物のメールでもよく使われる文言です。その言葉が使われているだけで迷惑メールと判断することはできません。
けれども、【重要】だったり【至急】だたりするならばなおの事、正しく内容を把握して慎重に対応しなければなりません。
詐欺の手口としてもう一つよくあるのが、相手に欲を出させることです。
なりすましメールによるフィッシング詐欺が主流になる以前は、安直に大金を稼げると主張する迷惑メールが結構な数ありました。
個人的には、「億り人」と言う言葉を最初に見かけたのは迷惑メールでした。
この大金稼げる系の話は、最近は迷惑メールからネット広告に移ったように見えます。
フィッシング詐欺の手口としては、放置するとサービスが停止されるとかアカウントが削除される等脅してリンクをクリックさせようとするものが多かったのですが、最近は利益を示して誘導しようとするものも増えました。
ポイント進呈とか、特典の有効化とか、未加算のマイルがあるとか。
最近増えた証券会社を名乗るメールでは優良銘柄を教えると言うものもありました。
フィッシング詐欺は、クレジットカードなどの情報を抜き取って対処される前に金に換える短期決戦型の犯罪です。
相手を信用させて何度も投資と称してお金を出させるタイプの詐欺や悪徳商法とはあまり相性は良くないのでしょう。
凄い大金を得られると夢を見させるよりも、ポイント進呈のような現実的にありそうな範囲の内容が多いようです。
電子メールによる詐欺は、電話を使用した特殊詐欺と異なり、巧みな話術で信用させたり、強い言葉で恫喝して反論を封じたりすることもできません。
だから、メールの内容で嘘だと思われない、最低でも「そんなことがあるかもしれない」と思わせる必要があります。
例えば、アカウントが制限されていると言って脅す場合でも、通常とは異なるパターンの操作を検出したとか、不正なログインの試行があったとか理由を付けて、「もしかしたら何者かの不正アクセスを受けたのかもしれない」と思わせようとします。
あるいは、欲望を引き出す場合でも「一億稼げる」とか「数百万円あげる」とか言った荒唐無稽な話ではなく、「ポイント進呈」とか「キャンペーンに登録すれば特典が得られる」といった実際にありそな内容が多くなります。
さらに本物っぽいものになると、実際に本物の企業がユーザに送信しているものと同じ文面のメールをリンク先だけ変えて送ってきます。
クレジットカード会社を装うメールで、「カードご利用のお知らせ」とか「銀行振込支払い内容確認のご案内」と言ったメールは、クレジットカードを持っていてメールアドレスを登録していれば普通に送られてくるでしょう。
このタイプの迷惑メールは地味に厄介です。
使用しているクレジットカードに対するものならばメールが来てもおかしくありませんし、文面が同じならばハッと見気が付き難いものです。
メールに金額が記載されておらず詳細はWebでと言うタイプならば憶えの無い金額に注意をひくこともなく、送信元も正規のメールアドレスに偽装してあったら機械的に判定することもできません。
結局、リンク先のURLが偽造されていないか細かく見なければ判定できないのです。
まあ、偽メールだと気が付かなくても、「いつものメールだ」と思ってスルーすれば実害はないのですが。
特別なメールでない分、メールに記載されたリンクをクリックする必要性は減ります。
普段からメールのリンクではなく、ブックマークしてあるURLからログインするようにしていれば被害に遭う可能性はかなり減らせます。
さて、色々と書きましたが、完璧に偽装された詐欺メールと言うものはまずありません。
特に、不特定多数にばらまく迷惑メールは質よりも量です。
ちょっとくらいおかしなところがあってもうっかり引っ掛かる人がいればそれでOKとばかりにいいかげんなメールを送って来ることも珍しくありません。
よく見れば、迷惑メールの多くには大なり小なり不自然な部分があります。
なりすましを行うことの限界で不自然な形になっているもの、単なる間違いだと思われるもの、ただの手抜きらしきもの、色々とあります。
例えば、メール本文の文章の中に、意味不明の文字列(単語にすらなっておらず、出鱈目に文字を並べただけの文字列)が随所に挿入された迷惑メールが来たことがあります。
これはおそらく、迷惑メールフィルターを掻い潜るために行っていることです。
メールサーバ側の迷惑メール対策として、「同じ内容のメールを一度に大量に送信することを禁止する」と言うものが考えられます。
企業のメールサーバならばともかく、個人向けのメールアカウントを扱うメールサーバから同じ内容のメールを何十通何百通とと同時に送信することは普通に考えてあり得ません。
そのような異常な行為を行うのは迷惑メールの送信だと判断して、送信を止めるのです。
そうした迷惑メールフィルターを回避して迷惑メールを送信するためには、一通ずつ文章を変える必要があります。
手作業で文面を作成していたらもの凄い手間になるので、ツールを使って機械的に文章に変化を加えることになるでしょう。
迷惑メールフィルターが完全一致で同じメールと判断するのならば目立たない所にシリアルナンバーでも入れれば回避できてしまいますが、「全体の八割が一致したら同じ内容」のような判断基準だったらもっと大きく手を加える必要があります。
そこで、適当な長さの文字列をランダムに生成して、メール本文の各所に埋め込みます。
その結果、謎の呪文がちりばめられた奇妙なメールが出来上がるのです。
そのような迷惑メールは極一部なので、別の回避方法もあるのでしょうけれど。
一時期、機械翻訳されたような不自然な日本語の迷惑メールが届くことがありました。
たぶん、海外から日本語の得意でない人が機械翻訳した文章を送って来たのでしょう。
今では全文機械翻訳したような不自然な日本語のメールはあまり見ませんが、部分的に不自然な日本語を見かけることはあります。
例えば、こんな感じです。
> 尊敬なるお客様
こんな書き出しで始まる迷惑メールが何通も来ています。
日本語として、「尊敬なる」は変でしょう。
こんな感じで、意味は何となくわかるけれど、日本語としてちょっと変な言い回しが含まれる迷惑メールはそれなりにあります。
また、日本語的にはおかしくないけれども不自然な文章も存在します。
こんな文章の迷惑メールが来たこともあります。
> 誰かがお客様のアカウントサービスのパスワードをリセットしようとしています。
(日時等のアクセス情報が記載される)
> これがお客様でしたら、確認コードは次のとおりです:
(適当な番号)
> リクエストしていない場合: 否認するにはこちらをクリックしてください。
> 誰とも共有しないでください。
これ、パスワードリセットに心当たりがないことが前提の文章ですよね。
こんな感じの文章を送ってくるシステムがあったとしても、パスワードリセットを否認するためにアクションを行わなければならないのは不自然です。
リンクをクリックして否認しなければパスワードがリセットされてしまうシステムでは、何かの都合でしばらくメールを確認できないでいたらパスワードがリセットされてアカウントが乗っ取られてしまう可能性があります。
もっと不自然な例として、以下のような内容のメールが来たこともあります。
> 警察庁について
> 私たちは警視庁です。
> あなたのお子様は窃盗容疑で逮捕され、被害者に210万円の賠償金を支払う必要があります。
> 至急下記口座にお振込下さい。
(以下、銀行の口座が2~3個記載される)
これは、フィッシング詐欺ではなく、直接お金を振り込ませようとする振り込め詐欺のメール版です。
金額と振込先の口座を変えて何通か送られてきました。
電話で掛かって来ると、相手が警察を名乗ることで慌てるのでしょうが、文章で読むと不自然さが際立ちます。
まず、「私たちは警視庁です」はないでしょう。本当に警察庁やら警視庁やらからメールが来たとしても、この名乗りはありません。
それから、最初の「警察庁について」はメールの件名にもなっていますが、その警察庁については何の言及もありません。たぶん、警察関係のメールと思わせて慌てさせるための言葉です。
複数書かれた名義の違う口座に対して、どれか一つの口座に支払うのか、各口座に分割して支払うのか、支払方法の重要な部分の説明が欠如しています。
そもそも、損害賠償の支払い命令を出すのは警察ではなく裁判所、示談だとしても相手は被害者かその代理人の弁護士で警察の出る幕はない。
まだ「容疑」で「逮捕」の段階で賠償金の支払いや金額が確定しているのもおかしいし、未成年でもない限り賠償金は本人が支払うものでいきなり親に請求するのは不自然。
だいたい、「あなた」や「お子様」とは誰の事なのか?
本人確認は重要です。
その「容疑者」の自己申告を鵜呑みにして、関係のない相手に損害賠償請求を行えば不祥事になります。
親に請求する是非はともかくとして、最低でも本当に親子かの確認は必要でしょう。
電話やメールで一方的に請求するということは本来あり得ないのです。
メールの短い文章の中でも山ほどツッコミどころがあります。
こんな怪しい話に引っかかるのは、よほど焦ってそれ以外の事が考えられない心理に追い込まれた場合だけでしょう。
少しでも冷静に考える余裕があれば、不自然な箇所に気付くこともできるでしょう。
ちょっとでも不自然だと思ったら、疑問を流すことなく、疑いの目を持ってきっちりと確認しましょう。
不特定多数に送られる迷惑メール共通の特徴として、相手の名前を書かないことが挙げられます。
メールアドレスしか知らない相手に無差別に送っているメールです。元々相手の名前など知らないのだから書けるはずがありません。
一方、なりすましでない場合は氏名の情報を持っていることが多いです。
ネットショップならば購入した商品を届ける先の住所氏名が必要です。
銀行口座でもクレジットカードでも証券会社の口座でも住所氏名電話番号等を登録します。
宅配業者も配達先の住所氏名が必要です。
NHKや電気ガス水道に関しても、契約者の住所氏名電話番号は記入するものでしょう。
警察を名乗るメールや税務署を名乗るメールでも、わざわざ連絡して来るのならば当然相手の氏名くらいは把握していなければなりません。
登録ユーザ全員に送信されるお知らせの類や希望者全員に配信されるメールマガジンや広告ならばともかく、特定の個人を対象にして何かのアクションを促すメールならば相手の氏名が記載されていない方が不自然です。
つまり、個別に送られてくる内容のメールなのに、自分の前が記載されていなければ、メールアドレス以外の情報を持っていない何者かによるなりすましを疑いましょう。
なりすましの元となるメールを入手してそっくりのメール本文を作っても、氏名の部分だけはどうにもなりません。
そこで何をするかと言うと、幾つかのパターンがあります。
単純に相手の氏名表示を削除する方法。
お客様とか○○会員様とかを使用する方法。
メールアドレスやメールアドレスの「@」の左側を名前の代わりにする方法。
よく見かけるのはこんな感じです。
中には堂々と知らない誰かの名前が記載されていて、「誰宛てのメールだよ!」と思ったこともありましたが、たまたま該当する名前の人に届いたらびっくりすることになるでしょう。
登録されている氏名の代わりにメールアドレスやメールアドレスの左側が使用されているものはそれだけでなりすましと判断しても良いくらいに怪しいです。
お客様の表示で一般的なメールに見せかけるものも、「決済に失敗しました」とか「アカウントが制限されています」とか「リンクは24時間で無効となります」とかは個別のユーザを対象にしていなければ出てこない文言です。
あって然るべき氏名が書かれていないメールは疑いましょう。
氏名の問題は不特定多数になりすましメールを送るうえでの限界ですが、もっと単純な間違いを含む迷惑メールもよくあります。
例えば、「メルカリ」からのメールになりすました迷惑メールに「メルカル」と表記されていたものがありました。
あるいは、「三井住友カード」を名乗るメールの件名の部分に【イオンカード】と書かれたものもありました。
最近では、野村證券になりすましたメールに、「野村証券」と書かれていたこともありました。紛らわしいですが野村證券は「証券」ではなく「證券」と書きます。
同じく野村證券を詐称するメールで、送信元の表示名だけ「SBI証券」となっているものもありました。
自社の名称や商品名を書き間違えたり、他社のものと取り違えることは、まともな企業から送信されるメールでは色々な意味でありえないことです。
様々な会社や組織になりすます迷惑メールだからこその間違いでしょう。
他には、送信元の表示名に「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">」、件名に「<HTML><HEAD>」と表示される謎の迷惑メールも結構な数が来ています。
これは、おそらくツールの使用方法を間違えています。
迷惑メールを送信するツールとして、一行目に送信元の表示名、二行目にメールの件名、三行目以降にメールの本分を書いたファイルを読み込ませると、その内容に従ってメールを送信するといったものがあるのだと思います。
一方、最近は迷惑メールもHTMLメールで見た目もきれいに仕上げたものが多くあります。
HTMLメールを作成するのに手書きでいちいちHTMLタグを一つ一つ書いて行くようなことはせず、HTMLエディタで編集します。
そうしてできたHTMLファイルをそのまま迷惑メール送信ツールに読ませると、HTMLの一行目を送信者の表示名、二行目をメールの件名としてHTMLタグをそのまま設定してしまうのです。
もしかすると、ツールの使い方を正しく知らないままに使っているのではないでしょうか。
本当なら、HTMLエディタで作成したHTMLファイルに送信元の表示名と件名を設定しなければならないのに、とりあえずメールは送信できるからとそのままで使っているのでしょう。
迷惑メールだと分かり易いので文句は言いませんけど。
ツール関係だと、迷惑メールの文中に謎の、と言うか意味ありげな文字列が入っていることがあります。
例えば、「[-random4-]」みたいなものです。
これはおそらく、ツールで送信する際に別の文字列に置き換えられる予定だった文字列です。
雛形となる文章を一つ作っておいて、送信する際に必要な部分の文言を相手に合わせて置き換えると言うのは迷惑メールに限らず良く行られる手法です。
例に出した「[-random4-]」ならば四桁のランダムな数を埋め込む指定であると予想できます。たぶん、意味ありげで実は何の意味もない四桁の数字をそれっぽく見せるために埋め込むのが目的でしょう。
他にも、氏名代わりのメールアドレスやメールアドレスの左側置き換わるのではないかと言う文字列も見かけたことがあります。
送信するメール毎に変える部分を全て手作業で書き変えていては手間がかかりすぎるので、ツールによって自動的に埋め込むようにします。
ただ、どこに何を埋め込むかを指定する文字列はツールによって異なる場合があります。
このため、あるツール用に作った雛形の文章をそのまま別のツールで使用すると、上手く置き換わらずに雛形の文字列がそのまま残る場合があります。
使用するツールが違うのではなく、ツールに指示するための文字列を書き間違えた場合でも似たようなことがおこります。
また、メール送信用のツールではなく、HTMLエディタの使い方を誤ったのではないかと思われるメールもあります。
HTMLメールでは、画像などを外部から取り込むことができます。
表示用に利用できるのはWebサーバで公開されているファイルか添付ファイルですが、PC上のローカルファイルを指定している迷惑メールを見たことがあります。
おそらく、HTMLエディタでメール本文を作成した際に、作業用のPCにダウンロードしたファイルを指定して作成してしまったのでしょう。
迷惑メールを受信した人の環境にはそんなファイルは存在しないので、正常に表示されません。
けれども、迷惑メールを作成した作業用のPCでは正常に表示されるので、気付かずに送信してしまったのです。
Windowsのデスクトップに保存したファイルを指定すると、「C:/Users/(ユーザ名)/DESKTOP/(ファイル名)」みたいな記述が現れるので、どんなユーザ名で迷惑メールを作成していたのかが分かったりします。
メールの内容以外に迷惑メールに共通する特徴として、とにかくしつこいことが挙げられます。
同じような内容のメールが毎日のように届きます。
毎日どころか、一日に何通も来ます。
ほぼ同じ内容の迷惑メールが、送信日時を確認すると一分差で送られてきたこともあります。
いくら重要で緊急な事柄でも、毎日毎日、あるいは一日に何通も同じような内容のメールを送ってくることはありません。
そんなことをするくらいならば、電話で連絡してきます。
だから、しつこいという特徴だけでもなりすましの偽メールだろうと判定する根拠になります。
むしろ、本物が混じっていたら見落としそうで怖いくらいです。
また、似たような内容になるのは同じ企業・団体を名乗る詐欺メールだけではありません。
ネットショップでもその他のサービスでも支払いが発生するならば「支払いに失敗しました」と言って慌てさせる手口は使えます。
クレジットカードなら何でも「カードの不正利用が疑われる取引があった」と言って脅す手法が可能です。
宅配業者だと、「再配達の依頼」と言って偽サイトに誘導するでしょう。
銀行や証券会社を名乗る場合は、「マネーロンダリング防止のため」と言って個人情報の入力を求めるかもしれません。
メールの内容だけでなく、「尊敬なる」みたいな変な表現などの不自然な部分やメールのレイアウト的なものが似通っている場合もあります。
つまり、明らかに偽物であるメールをたまにチェックしておけば、フィッシング詐欺の手口がおおよそ分かるようになります。
たまに新しいパターンがあって驚くこともありますが、しばらく待てば同じような迷惑メールが次々と来ます。
迷惑メールにも流行があります。有効そうな手法はすぐにまねする者が現れるでしょう。
大切なことは、慌てないことです。
本当に重要で一刻を争う内容を、しつこいメールだけで済ませることはあり得ません。
フィッシング詐欺は、最終的にメールに記載されたリンクをクリックさせ、リンク先の偽サイトでID、パスワード、クレジットカード情報等の個人情報を入力させます。
将来的にはまた別の手法が登場するかも知れませんが、現在の主流はリンクをクリックさせるものです。
だから、リンクのURLを詳しく調べれば、フィッシング詐欺を見抜くことは可能です。
私は実物を見たことはありませんが、フィッシング詐欺の偽サイトはかなり精巧に本物に似せてあることもあるそうです。
画面を見るよりも、URLの確認を行いましょう。
URLは以下のような形式になっています。
スキーム名://ホスト名/パス名?クエリー
スキーム名はデータを入手する手順を示すもので、プロトコル名が指定されることが多いです。
ブラウザで表示する場合はhttpかhttpsが指定されます。
httpsはhttpに対してセキュリティを強化したプロトコルで、サーバとの通信を暗号化します。
個人情報を入力するような画面では、httpsを使用します。
ホスト名の部分は、詳しく描くと次のようになります。
ホスト名.ドメイン名
ドメイン名は、意味的にメールアドレスのドメイン名と同じです。
ドメイン名付きのホスト名はインターネット上で重複の無い唯一の名前となり、接続先のIPアドレスに変換されます。
パス名は、接続したホストマシンの中での取得するデータの場所を示します。
静的なコンテンツならばディレクトリ名付きのファイル名。Webアプリケーションならばアプリケーション名/ページ名を指定します。
クエリーはWebアプリケーションなどに渡すパラメータで、必要のない場合は?から右側は記述されません。
細かいことを言えば色々とありますが、大まかにはこれだけ押さえておけば十分です。
ここで重要になるのが、ホスト名の部分です。
ドメイン名付きのホスト名は、インターネット上で唯一無二です。
ドメイン名を取得した企業や組織は、取得したドメイン名の左側に任意の名前を付けることができます。
そして、それ以外の個人や組織はそのドメイン名や、ドメイン名を付けたホスト名を使用することはできません。
これはインターネットの大前提で、この前提が崩れると名前からIPアドレスを取得して該当サービスに接続することができません。
例えば、Amazonの日本法人はamazon.co.jpと言うドメインを取得しています。
これを用いて、Amazonのショッピングサイトはwww.amazon.co.jp。
Amazonに出品する人向けのサイトとしてsell.amazon.co.jp。
Amazonの決済サービスであるAmazon Payのサイトとしてpay.amazon.co.jp。
と言った感じで関連のサイトを立ち上げています。
しかし、Amazonと無関係の人や組織が勝手にfake.amazon.co.jpとか言う偽サイトを立ち上げることはできません。
amazon.co.jpのドメイン名を持つ偽サイトを実現するためには、Amazonの管理するサーバ上に偽サイトを構築するか、インターネット上の名前解決システムに偽情報を登録する必要があります。
どちらもなりすましメールを送り付けることに比べたら段違いの高難易度です。
その高難易度の不正に成功したとしても、バレればすぐに対策されて同じ方法は二度と使えなくなります。
もしも、対策が不可能な方法が存在したら、それはインターネット上のビジネスそのものの危機になります。
迷惑メールを無差別にばらまいているような連中がそんな無駄に高度なことをするはずもなく、自分たちで立ち上げた無関係の偽装サイトに誘導します。
だから、リンク先のURLのホスト名に含まれるドメイン名をしっかりと確認すれば、本物のサイトか偽装サイトかは区別できます。
ただし、相手も騙すつもりで迷惑メールを送ってきているので、偽サイトだと分かり難いようにURLに細工をしている場合があります。
URLなんか見ていない人が引っかかればよいとばかりに、何の小細工もしていない場合もありますが。
URLを誤魔化す方法としてよくあるのが、URLを表示させないことです。
HTMLメールならば「ここをクリック」のような文言に偽装サイトのURLを設定したリンクを貼り付けることで、直接URLを見せることなく偽造サイトに誘導することができます。
これを応用して、本物のサイトのURLを書いた文字列に、偽サイトのURLを設定したリンクを貼り付けると言うことも行われます。
一見すると本物のサイトのURLが表示されていますがそれはボタンに書かれた説明文でしかなく、クリックして表示されるのは偽サイトと言う仕掛けです。
Outlookの場合、リンクにマウスカーソルを合わせるとURLがポップアップ表示されます。
フィッシング詐欺対策として、このポップアップして表示されるURLを確認するように指導することがよくありますが、それがクリックしたときに表示される本当のURLだからです。
URLを隠す以外の方法としては、紛らわしいURLを作るという方法があります。
例えば、「anazon.co.jp」とか「amazone.co.jp」とか言ったドメインを取得できれば、かなり紛らわしい偽装サイトができるでしょう。
ただ、ドメイン名の取得は早い者勝ちで偽装サイトを作ろうとした者が都合よく取得できるとは限りません。
また、犯罪専用に使用されているサイトと分かればドメイン名を取り上げたり、その後も紛らわしいドメイン名を使用禁止にする対策が取られるかもしれません。
そこで、次善の策として取得したドメインの左側に紛らわしい名称を付けます。
例えば、「amazon.xxx.com」とか「amazon_co_jp.xxx.com」と言った具合です。
送信元メールアドレスの偽造と同じで、ぱっと見で「amazon」の文字が見えたから「Amazonのサイトに違いない」と思い込んでしまうと引っ掛かります。
URLの確認は、ドメイン名をしっかりと全部確認するように心がけましょう。
他には、最近URLの文字列に「∕」と言う文字を使用している迷惑メールを見かけます。
この文字は、ホスト名とパス名を区切る「/」にそっくりですが、全く別の文字コードが割り当てられた別の文字です。環境によっては文字化けするかも知れません。
いくら見た目がそっくりでも文字コードが異なる以上、機械的には全く別扱いです。「∕」は「/」の代わりにはなりません。
ただ、それがどのように作用するかは私もよく分かっていません。
そもそも正しいURLとして機能するのか?
メールソフトやブラウザによって挙動が異なるのではないか?
さすがにフィッシング詐欺と分かっているURLを試してみる気もないので確認はしていません。
案外、迷惑メールを作成した人が変なミスをしたとか言うアホな理由かもしれませんが……URLの異なる複数の迷惑メールで使われているので可能性は低そうです。
ただ、偽装サイトのURL自体は本物と見間違えるくらいに似てはいないので、怪しいURLは無視すれば今のところ問題ないです。
それから、Google翻訳を利用する手法も見かけるようになりました。
Google翻訳のURLは正規のもので、それ自体はフィッシング詐欺とは無関係の真っ当なサイトです。
そのGoogle翻訳に対して、翻訳を行う対象として偽サイトのURLを渡すことで、偽サイトとを表示させているのです。
ついでに、翻訳対象の指定とは別の無視される部分に偽造しようとしている本来のサイトのURLを書き込むなどしてさらに分かり難くしています。
そもそも、自分のユーザに対する重要な内容を、無関係な会社の翻訳システムを経由して表示するなんてことはあり得ないのです。
Googleが信頼できる企業で、Google翻訳が便利なツールだったとしても、それは詐欺です。
ここまで色々と書いてきましたが、私の受け取る迷惑メールは不特定多数に向けて無差別にばらまかれるものばかりです。
こちらの情報を知らないから見当はずれだったり不自然な文章になるし、大量に送った先の一人一人に細かく合わせる対応なんてできません。
だから、落ち着いてよく読めば、詐欺メールを見分けることも難しくはありません。
しかし、一度でも引っかかって個人情報を盗まれたり、他のどこかから漏洩した個人情報が詐欺グループの手に渡ったりすると面倒なことになります。
メールに自分の氏名が入っているからと言って、関係者からのメールだとは言えなくなります。
自分の持っているクレジットカード、銀行口座、ユーザ登録してあるネットショップなどの情報も知られれば、より紛らわしい内容の詐欺メールが来るでしょう。
電話番号が知られれば、メールと電話を併用して特殊詐欺を仕掛けて来るかも知れません。
大量にメールをばらまいて引っかかる人が出るのを持つ方式を、釣り糸を垂らして魚がかかるのを待つ釣りに例えてフィッシング詐欺と呼びます。
一方で特定の組織や個人を狙い撃ちにして情報を得ようとする手口を、見つけた魚に狙いを付けて銛を打ち込むイメージでスピア型攻撃と呼びます。
一般的な詐欺でも、一度詐欺の被害に遭うと、様々な手口で何度も騙されることがあります。
フィッシング詐欺でも、うっかり引っ掛かったら何度でも狙われ、スピア型攻撃の標的として狙われる恐れもあります。
怪しいメールに反応しないように、平素から気を付けましょう。
私はメールをテキスト表示しています。
また、迷惑メールでなくても基本的にメールに記載されたリンクをクリックしないようにしています。
これだけでも結構被害を防げます。
