フィッシング詐欺の被害が増えている中、毎日たくさん届く「メール」がフィッシングかどうか、見破ることは難しくなりつつあります。一般ユーザーができる対策を解説します。

メールの差出人は偽装できる

フィッシングメールを見破る方法として、メールの「差出人アドレス」を確認するようすすめる記事を見かけることがあります。しかし、これは実際には難しいと筆者は考えています。

メールの差出人アドレスとしては、よく目立つ場所に表示される「From」（ヘッダーFrom）や、問題が起きたときの返送先を示す「Return-Path」（エンベロープFrom）があります。

これらの値は、差出人が自由に設定することができてしまいます。紙の郵便物と同様に、メールは基本的に「なりすましが可能」な仕組みであるといえます。

ただ、そのままでは世の中が混乱するので、なりすまし対策の技術も存在します。送信元IPアドレスを検証できる「SPF」、公開鍵暗号を用いて改ざんを防ぐ「DKIM」に加え、さらに柔軟な設定を可能にする「DMARC」の導入も進んでいます。

GmailやYahoo!メールなど大手のメールサービスはこれらの技術を導入しており、ドメイン側の設定に応じて受信を拒否したり、迷惑メールフォルダに直行させたりしています。導入状況などはフィッシング対策協議会による報告が参考になります。

とはいえ、ドメイン管理者やメールサーバー管理者の方針で、これらの技術が導入されていない場合もあります。また、仮にあらゆるシステムがDMARCに対応したとしても、脅威がなくなるわけではありません。

独自ドメインを取得し、DNSを適切に設定すれば、DMARCの検証は簡単にパスすることができます。筆者のメールボックスにも、アフリカにある国のドメインから、DMARCをパスしたフィッシングメールが届いています。

このケースのように、DMARCは技術的に正しく機能しているにもかかわらず、何の頼りにもならない場合、差出人アドレスを見て判断できると思うかもしれません。ただ、実際には判別困難なケースもあります。

たとえばエポスカードから送られてくる案内は、差出人のドメインが「01epos.jp」となっています。汎用JPドメインは誰でも取得できるものですが、これは本当に正規のドメインなのでしょうか？

このドメインの所有者をWhoisで確認すると「株式会社マルイカード」となっています。しかしエポスカードのドメインは「eposcard.co.jp」で、所有者は「株式会社エポスカード」となっており、両者は一致していません。

実は、株式会社マルイカードは2004年に設立された当時の社名で、現在では株式会社エポスカードになっているとのことです。また、エポスカードのWebサイトにも「01epos.jp」からメールを送信するとの説明があります。

こうした情報を組み合わせることで、「01epos.jp」は正規のドメインだと分かりますが、すべてのメールについてこのような調査をするのは現実的ではありません。

NTTドコモは自社サービスで使うドメインの整理統合を進めていますが、これはドメインのなりすましを防ぐという観点から有効といえそうです。

「URLを踏まない」ことが重要

フィッシングメールといえば、日本語の言い回しがおかしいなどの特徴が指摘されることもありますが、最近では「文章力」が高まったメールも増えています。

そのため、一般のユーザーができる対策としては、フィッシングかどうか見破ろうとするのではなく、メールで送られてきたURLやリンクを踏まないことを意識したほうがよいでしょう。

たとえば料金の確認など何らかのアクションを起こす必要がある場合、メールの本文にあるリンクは使わず、多少面倒でもブックマークや検索エンジンからWebサイトを開くことをおすすめします。

なお、最近ではマイクロソフトの検索エンジン「Bing」で、自治体の偽サイトが表示されることが問題となっていました。グーグルが完璧というわけではありませんが、当面Bingを使うことは避けたほうがよいでしょう。