友人に電子メールが届いたという。「セキュリティ強化のために、メールソフトの設定を変更してください」とある。いっしょに確かめたところ本物の通知ではあったが、「税金還付のために、振込をしてください」という振り込め詐欺と同じ説明方法であり、とても怪しい。
- 「もっともらしい理由 + 相手への作業指示」という構成になっている
- 電話やメールなど、誰でも作成可能な媒体で一方的に通知してくる
- 「至急」「締切り間近」など、相手に時間を与えないような文言を使っている
- 作業が正しく行えたかどうかを作業者側が検証する方法を積極的に説明していない
この4要件が揃うようであれば、今の世の中では疑った方がよい。
プロバイダーが友人に出したメールは、見事に4要件が揃っていた。メールには、解説が書かれたWebサイトのURLが載っていた。しかし、リンク先はサイト証明書つきのページではなかった。セキュリティーの専門家が言うように、URL欄を見てプロバイダーが使っているドメイン名のサイトであることを確認することで、わたしはようやくメールが偽物でないことを証明できた。ただし、一般の人が、プロバイダーから説明を受けずに自分で確認するとは思えない。プロバイダーが周知方法を改善すべきだ。
メールで他人をだます方法
上述のプロバイダーと同じやり方で、だまそうと思っている人にメールを出せばいい。特定の知り合いを狙ってもだまされないかもしれないが、1,000人に送れば数人からは反応があるだろう。
契約しているプロバイダー以外からメールを受信できない仕組みになっているならばいい。ところが、Webメールが使用できるプロバイダーは少なくない。それどころか、法人でもインターネット上のサービスを使うのが当然という風潮になっている*1。インターネット上のどこからでもアクセスできる仕組みを受け入れてしまっている。
さて、他人をだますことでどんな被害があるのか。
犯人Aは、アダルトサイトのスペシャル映像が見たかった。ところが、スペシャル映像を見るためには、フリーメールではないメールアドレスを登録し、パスワードを取得しなければならない*2。登録を行うと、不要なアダルト広告メールが届くようになるため、Aは自分のアドレスを登録したくなかった。
そこで、フリーのドメイン名を取得できるサービスを使用し、偽物サイトを構築した。偽物サイトを構築できるくらいの知識があれば、アダルトサイト登録用の仮設メール受信サーバーを立てればよかったのだが、作り始めたらおもしろくなってそんなことはどうでもよくなった。
次の文面でメールを出した。メールの送信元は偽造した。偽造できるくらいの知識があれば、(以下、前段と同じ)・・・。
【至急】メールソフト設定変更のお願い
いつも弊社をご利用いただきまして、ありがとうございます。
セキュリティ強化のため、メール受信方法を改善します。
次のURLをご覧になり、X月X日までに変更をお願いします。
URL名はでたらめであったが、数%の人はそんなことは確認しないだろうと思っていた。弊社が何者かは不明だが、読み手が勝手に勘違いしてくれればそれでよかった。
被害者Bは、ウイルス検知ソフトやパーソナルファイアウォールなどを使用していたため、セキュリティーは問題ないと思っていた。ある日、Aが作った見慣れないメールを受信した。Aが期待したとおり、URLを確かめもせず、メールソフト内のリンクを押してしまった。そもそも、英数字の羅列であるURLを確認せよなんて、誰にも教わったことがない。
偽サイトに誘導されたBは、Aが指定した通りにメールソフトの設定を変更した。正当な設定変更依頼であれば、代表的なメールソフトごとの設定画面例が掲載されているものだが、Bが見たサイトには具体的な設定例は掲載されていない。それに代えて、
セキュリティ確認のため、認証されたユーザーに変更方法をメールします。
と書いてあり、メールアドレス、ID、パスワードを入力する欄があった。Bは信じて個人情報を入力し、送信ボタンを押してしまった。
Aは、偽物サイトに送られていた個人情報を取得し、Bが加入する本物のサイトを見て自分のパソコンにB向けの設定を行った。メールアドレスを見れば、どこのプロバイダーなのかは推測できる。企業の社員用のメールサーバーだったらアクセスできないが、Bはプロバイダーのメールサービスを使用していたのでAにもアクセス可能だった。こうして、Bが使用しているメールサーバーから受信することに成功した。Bがどこの誰なのかはAにとってはどうでもよかった。
成功した記念としてAは、アダルトサイトにBのメールアドレスを登録し、パスワードが入ったメールを受信し、すぐにBのサーバーからそのメールを消した。
その後、Bは、身に覚えのない迷惑メールを受信するようになった。しかし、プロバイダーからは変更内容が書かれたメールが送られてこなかった。しかし、迷惑メール以外の実害が起こっていることにまだ気がついていなかった。
Aは、Bのメールを受信するようになった。Bは仕事にこのメールアドレスを使用していて、秘密とは言わないまでも、業界でしか知り得ない情報もメールを使ってやりとりをしていた。Aはそれを覗き見するようになった。ある日、おもしろそうな情報を見つけたAは、匿名で掲示板サイトにそれを投稿してしまった。
・・・
Bは、メールや設定変更依頼サイトの正当性を確認せずにAに個人情報を提供してしまった。メールやWebサイトの正当性を自分で確認するという行為は、そんなに神経質になってやらなくてもめったに事故は起こらない。しかし、可能性は0ではない。自動車を運転する前に、エンジンルームを開けて点検しましょうというのと似ていて、1回でもやらなかったら即事故になるというわけではない。実際には必ずしも行われていない。しかし、ある時、条件が重なれば事故になってしまう。
電子メールに書かれたURLが本物であるか確認する方法
- メールのURLがリンク可能な状態になっていても、リンクが偽造されていないか自分で確認できない場合はリンクを押さずに、書いてあるURLをクリップボードにコピーしてWebブラウザに張り付けましょう。
- 特にHTMLメールのリンクは信頼できません。
- SSLになっている場合は、証明書の内容を確認しましょう。SSLになっていない場合は、WebブラウザのURL欄を自分で編集して、サイトのトップページを見ましょう。
- 例えば、http ://aaa.bbb.com/ccc/ddd/eee.html となっていたら、http ://aaa.bbb.com/に書き換えてみます。
- ページ内の「ホーム」「トップページに戻る」などのリンクは信頼できません。
- リダイレクト*3なしに、あなたが予期していたトップページが現れたらだいたい信頼できます。
- サイト運営者が作成した印刷物や、検索エンジンを使って、ドメイン名やURL名が正確かどうかを確認しましょう。
もっとも、本気で素人をだまそうとする人にかかれば、いかようにも偽物サイトに誘導することはできるので、場合によってはこれで万全ではありません。適切な相手と安全に通信する方法はあるのですが、現状では、送信先が正しい方法を利用し、受信者が正しく確認しないと悪い人が入り込む余地が生じてしまいます。しかし、これはインターネットに限らず、現実の世界でもいっしょです。
インターネットが特に危険というわけではありません。