PR

 国内ユーザーを狙った「フィッシング(phishing)」が氾濫している。フィッシングとは,偽のメールやWebサイトを使って個人情報などを盗むオンライン詐欺のこと(関連記事)。ユーザーとしては,偽メールにだまされないよう注意する必要がある。一方で,企業が送った“正規”のメールであっても,フィッシング目的の偽メールに見える怪しいメールが少なくない。

 メール・マガジンなどを顧客に送っているある企業の担当者は筆者にこぼした。「フィッシングが話題になっているために,ユーザーから『本当におたくが送ったメールなのか。フィッシングじゃないだろうな』といった問い合わせが多数寄せられるようになった」

 “フィッシング全盛”の現在,ビジネスでメールを利用している企業は,メールの内容や利用方法を見直す必要がある。フィッシング目的と間違われるようなメールは,顧客をいたずらに不安がらせるとともに,その企業のセキュリティ意識を疑わせることになる。また,本当のフィッシング・メールを「怪しい」と思わせない“土壌”を作ることになる。

 そこで本稿では,専門家の意見などを基に,“フィッシング全盛時代”におけるビジネス・メールの注意点をまとめた。

脅かさない,むやみに個人情報を聞かない

 フィッシング目的のメール(本稿では,以下「フィッシング・メール」と呼ぶ)に間違われないためには,当然のことながら,「フィッシング・メールで使われる常とう手段や決まり文句を知って,そういったものを使わないようにする」(セキュアブレインのプリンシパルセキュリティアナリスト 星澤裕二氏)ことが基本である。

 「下記リンクのサイトへ今すぐアクセスして,アカウントの更新手続きをしてください。さもないと,あなたのアカウントが失効します」——。こういった内容でユーザーを脅かして,個人情報を入力させようとするのはフィッシング・メールの常とう手段の一つ。このため,「こういった重要な内容はメールで伝えるべきではない。実際に伝えたい場合には,メール以外の手段(Webや電話,郵便など)で伝えるべき」(星澤氏)

 「緊急で重要な内容だからこそメールで伝えたい」という反論もあるだろう。だが,「それはナンセンス」(テックスタイルの代表取締役社長 岡田良太郎氏)。「メールという伝達手段を信頼し過ぎている人が多い。実際にはそれほど信頼できるものではない。重要な用件はメール以外の手段で伝えたほうがよい」(岡田氏)

 加えて岡田氏は,メールに書かれている内容の裏付けが取れるようにすることが望ましいとアドバイスする。具体的には,「メールと同じ内容を,別のメディア(ダイレクト・メールや新聞広告など)にも載せる。そして,メール中で,例えば『×月×日の広告にも同じ内容が記載されています』とすれば,メールの内容をユーザーが確認できる」(岡田氏)

HTMLメールをむやみに使わない

 HTMLメールを使って,偽サイトへのURLなどを隠すのもフィッシングの常とう手段。表現力に優れるHTMLメールではあるが,フィッシングの“温床”になっていることも事実である。このため,「フィッシング対策の観点だけから考えれば,HTMLメールの利用は避けたほうがよいだろう」(セキュアブレインの星澤氏)。

 しかし一方で,「ユーザーや事業者によってはHTMLメールは便利なので,やめるのは難しいだろう」(センドメール社長の小島國照氏)という意見もある。HTMLメールを使わざるを得ない環境でも,その使い方は考えるべきだ。例えば,「テキストしか書かれていないHTMLメールは止めるべき。HTMLメールにするメリットはない。テキストだけのHTMLメールは,偽サイトへのリンクなどを隠す常とう手段なので,フィッシング・メールだと誤解されるだけだ」(星澤氏)。

 テックスタイルの岡田氏は「HTMLメールが悪いのではなく,HTMLメールが備える特定の機能がまずい」と強調する。悪用されるような機能を使っていなければ,HTMLメールを利用する選択肢はありうるという。

 具体的には,(1)メール中にリンクを含めない(クリックできてはいけない),(2)「Well-formed MIME」を使って,テキスト・パートを明確にする(ユーザーが確認できるようにする),(3)スクリプトやフォームを使わない,(4)ユーザーに質問するような内容はメール中に記述しない——以上を,HTMLメールを使う場合の条件として挙げている。なお,これらはあくまでも「フィッシング対策」の観点から考えた注意点である。「Webバグ(Webビーコン)」といったプライバシの問題などは考慮していない。

リンクで嘘をつかない

 メールで完結するフィッシング(「メールの返信で個人情報を要求する」「フォーム入力させる」など)も存在するが,フィッシングの多くは,偽メール中のリンクで偽サイトに誘導する。このため,メール中にリンクを記述する場合には注意が必要である。