JPUバナーイメージ

JPUバナーメール

 

Eメールのフィッシング詐欺に引っかからない方法

 

 

いきなり一つ

全Eメール受信拒否

一番重要なことはすべてのEメールを受信しない。登録時以外はEメールを使わないことが簡潔対策です。

Eメールアドレスはログイン時のID(識別子)にしか使わないことで、Eメールのフィッシング詐欺は100%防げます。

 

前提として普段使いEメールアドレスは別に用意してください。こんなマニアックな記事を読んでいるあなたには朝飯前か、すでにそうしてると思います。

にしても、ふざけるなって? 本気です! 100%防ぐのは無理って考えが間違っていて、受信しないという最高防御の対策が大真面目にあるんです。

100%防いだ状態からどこまで崩して、崩した内容によって対策をしていくのが本来の方法であってセキュリティでは基本の考え方です。

Eメールすべてを拒否したことによって被る被害は、良くも悪くも企業のサービスを受けられなくなる程度です。詐欺に引っかかるよりはましでしょう。

そもそも「○○しないとクレジットカードを止めます」は100%詐欺ですよ。クレジットカードの不正利用があった場合に、Eメールなんて来たとしても止めた事後報告です。

Eメールの性質上、受信しないことでユーザーが不便になることはあっても、犯罪に巻き込まれるようなことはあってはいけませんし、ならない。

仮にEメールを受信できなかった時の損害が、契約したサービスを受けられないこと以上である場合、違法契約の可能性がかなり高いです。一刻も早く第三者に相談してください。

Eメールを受信したことによって犯罪に巻き込まれることはあっても、拒否して巻き込まれることはない

言い切れる鉄則です。忘れないでください。不安であれば警察や弁護士にも聞いてみてください。

 

当記事は半分タイトル詐欺なので、そのままの意味で来られた方にはこの先も苦痛かもしれません。

珍しくちゃんとIT記事として書きます。方法の羅列でなく背景や展望を含めた内容です。

Eメールの仕組みさえ知らない人が、どこかしらから写して作ったコピペ記事ばかりで飽きたでしょう?

見た目をそれっぽくして、騙して信用させるとは、フィッシング詐欺サイトと同じことしてますね。

図星の人しか怒らないようなことは直球で今日は書きます。大切な内容なので軽い気持ちで同様タイトル記事を書いている人には厳しめに言います。

 

話は戻って、迷惑メールが防げない原因は私たちのようなEメールアドレス提供者がどこまで正確に分別拒否できるかという問題でもあります。

迷惑メールが出だしたころは、通信の秘密を守る電気通信事業法第4条があるので「内容による送受信の選択にEメール提供者が介入するのは問題だ」のような時代もありました。もちろん今でも内容を人間が読むかの如く仕分けすることは違法です。あくまでも受信者の同意の範囲によって拒否のレベルを決めます。あわせて、拒否の禁止を定めた電気通信事業法第121条にも関わっていて、通信事業者が逃げ腰だったこともあります。

今ではいちいち設定しなくても規約に盛り込まれていて、迷惑メールはお任せコースで拒否されることが多いです。たとえばGmailは数年前の記事で99.9%以上阻止と公表しています。

ほとんど暗黙の了解状態で迷惑メールはユーザーが気付かないうちにブロックされています。届いて「しまう」迷惑メールのほうがごくごくまれです。不正なメールをたくさん送るサーバーを拒否することが拒否の正当な理由として使えます。スパムを1通送信しただけでも拒否されて文句を言えない時代になりました。

ただし、残念ながら、前出の電気通信事業法第4条で送信者の同意を得ていない問題は解決できません。迷惑メールを送るサーバーのリストを公開している団体が訴えられるという逆切れ裁判もあります。対抗する資金や気力がないと強気でいくにはまだ難しいところです。

 

そもそも迷惑メール対策は単純で、することも決まっています。対策ページなど言語毎に1ページあれば十分です。大企業も右ならえ対策と会社名やドメイン変えただけのコピペ。

ここで一つ、根強い悪対策を上げておきます。

 

パスワードをこまめに変える

エセセキュリティです。おそらく大企業が言い出したことなので、エンジニアたちの言うことなどに誰も耳を傾けませんでした。残念ながら私の使っている銀行にも書いてあります…もう愛嬌です。

なぜなら、こまめに変えなければいけない状態がすでに適切な状態ではない。そう、これは対策ではなく、すでに危険な状態下での対処であって、危険な状態から抜けるまで耐えるだけの方法なのです。

適切に各サイトで違うパスワードを使っている方には、全く必要のない対策です。被害にあう確率はかわりません。むしろ高くなります。覚えるのが面倒くさくなって攻撃に弱い一般的なパスワードに落ち着いてしまいます。

 

ではどうしたらいいのか?

受信者側でできることはもうありません。さすがに、初めて対策を調べようとした方に申し訳ないので、リンクを貼っておきます。とても昔から迷惑メール撲滅に取り組んでいる、日本データ通信協会の対策全般当記事に当てはまるページが参考になります。

詐欺というものは引っかからない人は一生引っかからないし、引っかかる人は何回か引っかかります。そういうものであって、「気をつけて」とはとても無責任な対策です。通信に関わる人間はもっと反省と改善をしてください。

通信事業者やログインの必要な企業サイトがまじめに取り組むしかないでしょう。とても個人的な意見ですが、今はまだ大して真面目に取り組んでいるようには感じません。

例えば、簡単にできるのに誰もしようとしない対策を、企業と通信事業者に対して一つずつ挙げます。

 

企業は広告と契約に関わる内容のEメールを同等に扱わないこと。

受信許可制にしていてもEメールが来るたび「結局一度は疑ってしまう症」にかかっている方も多いと思います。なりすましを本当にブロックできているのか疑わしいですよね。企業は広告メールのオプトイン同意をチェックなどではなく、ログイン用Eメールアドレス以外の登録を条件にすべきです。ログイン用と広告用でEメールアドレスを別ければ、少なくとも、広告で登録した側のEメールアドレスに来たEメールは適当に扱えるので格段に楽になります。

アドレスを2つ用意させることに不便さを感じる? いやいや、本当にお客様が広告を送ってほしいと思っているのですか? Eメールアドレスを2つ用意できないお客様には広告メールを送らなければいいだけです。

 

通信事業者はいい加減、セーフティーアドレス(サブアドレスの意味ではない)の提供を一般的にしなければいけないでしょう。

セーフティーアドレス宛のEメールを送りたい企業には最初に申請と、定期的な更新をさせます。受信許可設定を個人単位ではなく通信事業者単位で実施しなければ、どんなに頑張っても現状では迷惑メールをなくすのは無理です。受信拒否で対処は当然いたちごっこになるので最初から雲をつかむ話でした。

なにも難しい技術はいりません。費用も詐欺被害の補填に比べたら安いもんです。既存の○○@jpu.jpに加えて許可制の○○@safe.jpu.jpを用意したら解決します。

送信側に区別はなくどちらに送信しても同じです。受信側がどちらのアドレスから受信するか選択します。きっとみんなsafe側だけを利用することになるでしょうね。企業がメールサーバーを乗っ取られた時しか迷惑メールは来ません。被害も激減するでしょう。

@safe.jpu.jpを用意するのもしないのも自由です。しかし、safe設定のある通信事業者の方が会員を増やすことができるだろうと容易に想像できます。

JPUはいつでもあなたの為にご用意いたします。ただ、企業側が申請してくれるかはわかりませんけど!

 

他にも解決策はたくさん考えられます。ながくなったので別の機会に…

 

「エセキュリティ」を流行らそうとしたけれど、案の定イエラエセキュリティというIT関連の人ならみんな知ってる、とんでもない企業が検索されるだけなので諦めた日でした。

せめて「エセセキュリティ」だけでもと希望を持った日でもあります。

 

 

2022/3/30

 

 

--------------------------------

日記一覧

 

JPUフッターイメージ