詐欺メールを晒す!


公開 (UL): 2021-01-26
更新 (UD): 2021-01-26
閲覧 (DL): 2021-05-07

この記事のもくじ

→本文へ
当サイトは SNS の公式アカウントがないので,「議論ネタ」にする際は,皆さんのブログ,メーリングリスト,SNS や掲示板などで,適当にハッシュタグを付けたりリンクを掲載するなどしてご利用ください。

前の記事

2020-11-07
オランダの「介護」に対する考え方一例

次の記事

2021-02-22
歴史が繰り返される理由

最近の記事

2021-04-22
「確定申告書等作成コーナー」を使ってみた
2021-04-22
「マイナンバー」が危険なこれだけの理由
2021-03-03
ホーム転落事故の原因と防止
2020-09-27
「差別意識」を世に広め続けるタテワリ行政
2020-05-14
「貧乏人を殺す行政の構造」……調布市の反応
新着情報

新着情報 Recent docs.

Sorry, but almost these pages are only Japanese.
「マイナンバー」が危険なこれだけの理由 «The reasons of "My-Number System" is danger.»
それでも「マイナンバー」を推す裏の理由を推察。
「確定申告書等作成コーナー」を使ってみた «Report of the using "Tax-office" website.»
まぁまぁ使えたそのコーナー,感想と要望など。
詐欺メールを晒す! «A real phishing mail!»
サイト管理者の元に届いた「詐欺メール」を晒すとともに,その対処,防犯対策を紹介。
デジタル化なら「スタイル編集」すべき «Let's "Style-Editting" with word-processor application.»
ワープロで「書式設定」の代わりに「スタイル編集」することで使える様々な便利機能。
「差別意識」を世に広め続けるタテワリ行政 «"Tatewari" means hard to work over-ministries cooperation in Japan. I'm worried it makes racist mind.»
「タテワリ構造」が解消しないと「差別意識」も根絶できない話。

人気記事 Frequent view pages.

表計算で「令和」に対応する方法
How to adapt the Gengo era "Reiwa" on spreadsheet applicaiton.

古いアプリも OK。「表計算 令和」の検索結果上位御礼!
表計算ソフトで予定表を自動作成する超便利な方法 «How to make the schedule table automatically on spread-sheet.»
「毎月第○×曜日」的な法則は自動で作らせてラクしよう!
表計算ソフトに「個人情報保護機能」を仕込む方法 «Prevention to leak private-data with spread-​sheet macro function.»
「漏えい」のためのフェイルセーフ。「表計算 個人情報」の検索結果上位御礼!
Wary-Basher (ワリバッシャー)
DIY device that enables the handicapped to operate many things with a switch like push-button.

障害者の様々な操作をスイッチ操作で実現する器具。キットも発売中! 「作り方」PDF ダウンロード多数御礼!←地方教育委で人気。
NTT 東日本代理店の勧誘のあり方に対する疑問 «I feeled pretty doubt the solicitation of "Optical-fiber communication" from the agency of NTT-east corporation.»
「あえて」分かりにくい説明をする業者に儲けさせてはいないか?
貧乏人を殺す行政の構造 «Structurally, the administrators kill the poors in Japan.»
ヘタすると多摩川に流されるところだった台風 19 号

この記事に対する → 調布市の反応

おすすめ! Recommend

「事故防シート」について «Cared persons taking with "Jiko-​Bow-​Sheet" prevents from accidents.»
介護現場の負担軽減と事故防止のアイデア
キーボードの「キー」の詳しい使い方 «The detial of usage each key on keybord.»
各キーの機能詳細。機能別五十音順一覧。
和易ゐ記 (WAI-WIKI) «WAI-WIKI is light­weight markup language for Japanese, and generates HTML on this server on-​demand.»
当サイトで開発/使用中の日本語向けに特化した軽量マークアップ言語

ご支援 Support this site.

この活動をご支援いただける方はこちらへ
Could you support this site, see here (but Japanese).

 じつは今のところ,筆者の元にはあまりメールは来ない。サイトではいろいろと記事の公開はしているものの,「もっと詳しく教えて~」と伝えて来る方も現れない。もっとも,メールアドレスをあえて分かりにくい掲載の仕方をしているせいもあるだろうが。なぜかというと,分かり易くしてしまうと,むしろ迷惑メールのほうが多く入って来て,結局は「詳しく知りたい」と思ってメールをくれる方への対応も中途半端になってしまいそうで。そのおかげか,実際,迷惑メールもあまり来ないので助かってはいる。
 そんなわけなので,このサイトに掲載している記事について,ホントに「詳しく知りたい」とお考えの方にはたいへん申し訳ないが,メールアドレスは,このサイトをよく探していただきたい。

 だが,とうとう来た。それも,よくあるくだらんサイトやサービスに勧誘する「迷惑メール」ではなく,カード会社を装った「詐欺メール」だ。内容や状況からいって,ほぼ確実に「詐欺」だ。
 もっとも,これも「迷惑メール」への対策と同様,普段から,詐欺ならばそうと分かる対策をしていたからできた判断なのかもしれないが。実際,試しにそのメールに掲載されていたサイトを見てみたが,カード会社のサイト「ではない!」とまで確実には分からない造り。よくできている。筆者のような対策をしていなければ,パッと見で詐欺と気付くのはむずかしいかもしれない。だから,引っかかってしまう人がいて,この手の詐欺も減らないのだろう。

 というわけで,ここではその詐欺メールを晒すとともに,筆者がやった「通報」などの対応と,普段の対策なども紹介してみたい。

● 詐欺メールとその対処

 件(くだん)の詐欺メールを晒す。以下のような内容。

▼ 三井住友カードを装う「詐欺メール」

 Subject: 【重要なお知らせ】【三井住友カード】が第三者に利用される恐れがあります。
  From: 三井住友カード <info@vvvvv.ne.jp>

 

 
 客さまの「三井住友カード」が第三者に利用される恐れがあります。

 

 
 いついつも三井住友カードをご利用いただきありがとうございます。
 いつも三井住友カードをご利用いただきありがとうございます。
 弊社では、お客様に安心してカードをご利用いただくことを目的に、
 第三者による不正使用を防止するモニタリングを行っています。
 当社の検出を経て、第三者が不正利用されてる恐れがあります。

 
 お忙しいところ大変恐れ入りますが、下記リンクで再登録行ってください。
 なお、ご契約いただいているカードについては、第三者による不正使用の可能性がございますので、カードのご利用を一時的に停止させていただいている、
 もしくは今後停止させていただく場合がございます。ご不便とご心配をおかけしまして誠に申し訳ございませんが、

 
 何とぞご理解賜りたくお願い申しあげます。

 
 至至急、三井住友カード会員サービスに情報を再登録してください

 

 
  VpassID ログイン

 

  〒105-8011 東京都港区海岸1丁目2番

 「お」がないとか「を」がないとか,「なんで2回言うのか」とか,いろいろとツッコミ所だらけで,こんなのに引っかかる人がいるのかと思ってしまうが,中にはうっかりリンク踏んで詐欺られてしまう「慌て者」も居るから,こうしたメールもなくならないのだろう。
 本文については後ほどネチネチとツッコむことにして,今回の場合,じつは「詐欺」と確実に分かる要因は本文以外のほうに多かった。その詳細も後述するが,まずは詐欺の可能性のあるメールを受けた時にできる対処について述べておきたい。

◆ フィッシング対策協議会に通報

 筆者がまず通報したのは,こちら。

▼ フィッシング対策協議会
https://www.antiphishing.jp/

 解説によれば……。

経済産業省から委託を請けフィッシング対策の普及、啓発活動を行っている非営利組織です。HP にてフィッシング事例や対策などを公開しております。

 「啓発活動を行っている」わりには,今回,筆者はどこか報告すべき組織がないかを「調べて初めて知った」のだが。まぁ,そうした組織があるはずだと思って検索したわけではあるが……それはいいとして。
 サイトのトップページ右上にある「報告」をクリックして表示される以下のページ記載のメールアドレスに,そのアヤシイサイトを報告。

▼ フィッシング対策協議会 > 報告
https://www.antiphishing.jp/registration.html

 後日,同協議会から返信が届いた。それが以下。

▼ フィッシング対策協議会からの返信(抜粋)

 お送り頂いた情報は 三井住友カード をかたるフィッシングとして
 報告を受領いたしました。

  
 稼働中のフィッシングサイトの URL については、 JPCERT/CC へ
 共有し、関連組織に対して連絡するよう依頼しております。
 またブラウザ等で警告が表示されるよう、セキュリティベンダ
 への URL 共有なども行っております。

 重要なのは,後半の「ブラウザ等で警告が表示されるよう……」という部分だと思う。ブラウザには,こうした詐欺サイトにアクセスしようとしていることを感知して警告する機能がある。協議会からの返信も,そのことを言っていると思われる。
 では,詐欺サイトかどうかを「ブラウザが」どのように判別しているのか。おそらく,「詐欺サイト」として疑われている URL(ウェブアドレス)の一覧がウェブ上のどこかに作られていて,閲覧者が見ようとしているサイトがそこに含まれていないか,ブラウザがインターネットを経由してその一覧を確認していると思われる。で,どうやらそのデータベース作成のために,今回のような「詐欺だ!」とか「詐欺かも?」というサイトの報告の収集が必要らしい。だから,今回のように通報することは重要。今回の通報がその一助となったとしたら,通報した意味もあったというわけだ。

 とはいえ,ブラウザが警告を出す……つまり,ブラウザの機能なのだから,ブラウザに通報の機能はないのか,と思われるかもしれないが,じつは「ある!」。あるのだが……今回もそれを使おうとしたのだが,動きが変だったので断念している。その通報の仕方など,詳細は次々節「◆ ブラウザで通報→Google が妨害」を参照。

 なお今回,協会は通報に対して返信をくれたが,最近こうした通報が増えている影響で,今後も個別に返信できるかどうかは微妙である旨の記載があった。というわけなので,通報に対する返信がなくても,あちらで何らかの対処はできていると考えて,あとから確認を求めるメールを送ったりしないほうがよさそうである。
 ただ一方で,メールは中継するサーバの不具合などで届かない事態も起こりうる。「偽装サイト」を通報した側としては,確実に先方に届いたことが確認できないと,対策が遅れてそのサイトに騙される人が出ないか心配になる。ウェブサービス設計の研究もしている筆者としては,そこは,メールが協会のサーバに届いたことを差出人アドレスに「自動返信」するシステムくらいあってもいいと思ったが,どうだろうか。

◆ 該当のカード会社に通報

 次に通報したのは,カード会社。
 じつは,届いた詐欺メールが騙(かた)っていた会社は,実際に使っているカード会社だったため,一瞬ビビった。が,いろいろ自衛策もしていた筆者にとっては,すぐに「詐欺」と気付くものだったわけだが。
 詐欺メールに掲載されている URL は無視して(当然!),普段使っているブラウザのブックマークからカード会社のサイトに行き,ログインして,「問い合わせ」フォームから通報をした。
 その日のうちに届いた返信が,以下のもの。

▼ カード会社からの返信(抜粋)

 お客様のご推察の通り、ご連携いただきましたメールは
 弊社よりお送りしているものではございません。

 
 弊社を騙るフィッシングメールと思われますので
 該当のメールにお心当たりのない場合は開封や記載のURL等にアクセスをせず
 削除されることをお奨め致します。
      :(中略)
 今回のようにお客様から情報をいただくことで迅速に対応することが可能となります。

 こちらもやはり,「通報した意味はある」ような反応をしてくれている。ただ,実際は筆者が最初の通報者なのかどうかは分からない。既に同様の報告があちらこちらから来ているかもしれない。とはいえ,通報する側から,その通報が最初なのか,あるいは既に同じ通報が多数届いているのかを知ることはできない。通報しなかったら,最初でも2番めでもないわけだ。むしろ,通報が一件だけだと「たまたまの誤配」として扱われる可能性があるが,通報が二件,三件と増えて来れば,それなりの規模で「詐欺メール」がバラ撒かれたと分かることにもなる。
 だいたい,皆が皆「どーせ誰かが通報しているだろう」と考えて無視してしまうと,通報する人が減ってしまい,結果的に「詐欺」の規模的な面が過小評価されるおそれもある。やはり,通報はしておきたい。

◆ ブラウザで通報→Google が妨害

 こういうことは,いろいろなところに通報しておくことが重要と考えた。それだけ詐欺サイトへの接続を阻止する手段も増えて,被害の広がりを抑える効果があると思われるからだ。
 述べたように,ブラウザには詐欺サイトへの接続に警告を出す機能があるわけだから,ブラウザ自体にそれを通報する仕組みもあるはずだと考えた。筆者が通常使っているブラウザは FireFox(ファイアーフォックス)というものだが,それで通報する方法を調べてみた。

 とりあえずはあったのでその方法を紹介しておく。ただこれは,偽装サイトと思われるサイトを「見つけた」時の対処……つまり,アヤシイサイトが「表示された状態で」行なう処置なので,実際にそうしたサイトに行き着いた時は,この方法で通報を試してみてほしい。
 一方,今回のように,メールで送られてきたアヤシイ URL に「あえてアクセスして」対応するには危険性があるので,お勧めしない。筆者も,「JavaScript(ジャヴァスクリプト)を無効化して,プライバシーモードで呼び出す」など,いろいろと対策をしたうえで行なっている。

 もしアヤシイサイトに出くわしたら,ブラウザのヘルプメニュー内にある「偽装サイトを報告…」の項目を選択する。以下のような感じ。

▼ ブラウザ右上のメニューボタンを押し「ヘルプ」をクリック
ブラウザ右上のメニューボタンを押し「ヘルプ」をクリック
▼ ヘルプメニューから「偽装サイトを報告…」を選択
ヘルプメニューから「偽装サイトを報告…」を選択

 このあと,該当 URL の記入枠が出るので,そこに記入するか,場合によっては既に見ていたサイトの URL が既に記入されていると思う。
 あとは,画面に従って「報告(送信)する」などのボタンを押せば,通報できると思う。

 しかし,筆者が使っているブラウザでは,うまく報告できたのかどうかわからない状態になってしまった。というのは,送信後は Google のサイトと思われる意味不明な英語の記事が表示されただけで,「報告を受けた」ことを示す文言がどこにも見当たらなかったのである。
 前述のように,筆者は「JavaScript 無効化」の設定をして呼び出していた。悪質なサイトでは,その「スクリプトに」悪さが仕掛けられることもあるから,JavaScript が機能する状態で該当サイトを呼び出すことがリスクを増大させるのは目に見えていたからだ。
 もしかすると,意味不明な Google サイトの記事が表示されたのは,その偽装サイトの通報ツールが,「Google に通報する仕組み」だったためにそうなっていて,Google が作ったスクリプトを実行する必要があったのに「スクリプト無効」にしてあったため,まともに通報機能が働かなかったのかもしれない。それなら通報できないのは当然。しかし述べたように,偽装サイトでは「スクリプト」が「悪さ」をすることが多いのだ。だとすれば,「詐欺サイトを報告したいなら,スクリプトを機能させて詐欺に遭うリスクを負いなさい」と言うようなもの。「防犯のための仕組み」としては矛盾を感じざるを得ない。

 ところが,多くの企業は「そんなの知ったこっちゃない」状態なことが多い。とにかく JavaScript が機能していなければ「まともに機能しない」ウェブページばかりだ。たとえば,昨年の後半辺りまで,NHK のニュースサイトは JavaScript 機能無しで見れていたのだが,暮れ辺りから途中までしか表示しなくなり,直ぐ下に「続きを読む」と書かれたボタンのようなものが表示されるようになった。ところが,いくらそのボタンを押しても続きは表示されない。しかし,JavaScript を機能させると見れる。「だったら機能させて見ればいいだろう」と思われるかもしれないが,機能させるとスゴく表示が遅くなって,なかなか記事を見れないばかりか,たまに強制終了されてしまい,結局は見れなかったりする。筆者はともかく,たとえば,視覚障害者が使う「音読ソフト」などは,JavaScript が機能しているとうまく読み上げてくれないなどの不具合が出る可能性がある。その場合,記事を聞くためには,筆者と同様にスクリプトを無効にする必要がある。そうして聞いていた人は,やはり昨年の暮れあたりから全文を聞けなくなったのではないか。視覚に障害があると設定の変更も容易ではないだろう。読むように再設定することが困難な方にとって,「ニュースサイト」としての機能を失なったことになる。「公共のマスコミ」と言われてはいるが,スクリプトによって公共性が失なわれつつあるのが実態のように思う。

 そういえば同じ頃,気象庁の「分布予報」のページもブラウザによっては見れなくなった。少し前まで分布予報は「単純な画像」だったが,見れなくなった頃からは,「マウスのホイールでズームできる」などの「仕掛け」が機能するようになっていた。当然そういった「仕掛け」も JavaScript で仕込まれる。以前は画像だけ読んで表示させることで,JavaScript を機能させなくても何とか読めたが,まずそれができなくなり,しかも案の定,筆者が使っている「表示するブラウザ」でも表示が超遅くなった。おまけに,以前の単純な画像なら,特定の地域の天気の色を読み取り,そこが晴れか曇りか雨なのか……を文字にして「視覚障害者がそれを音読ソフトで聞ける」ようにすることも比較的簡単にできたが,それが簡単ではなくなってしまったことになる。
 気象情報などは,知ることができなければ災害に結びつく可能性もある。本当に「あまねく」それを知りたい全ての人に知られるようになっていてしかるべきではないかと思う。残念ながら,気象庁のような公的機関でもその意識は薄いということかもしれない。あるいは,こうしたスクリプトのリスクが知られなさ過ぎるのか。
 まぁ,「分布予報」にそれほどのリスクはないかもしれないが,しかし,もっと防災に重要なページにまで,分布予報ページの「改悪」的な面に気付かないまま同じような JavaScript が仕込まれ,それによって見れるブラウザが減って,そのうち本当に「防災情報が見れなかった」ことが原因で逃げ遅れて犠牲者が出てしまわないか心配だ。これが怖いのは,実際に「スクリプトが原因で防災ページが見れなかった」ことで犠牲者が出たとしても,それを後で検証できないこと。犠牲者が「防災ページが見れなかった」と証言することなんかないし,だいたい,生き残った人も,ウェブの仕組みによほど詳しくない限りは「スクリプトが原因で見れなかった!」と気付かず,誰も指摘できないだろう。大雨で川が氾濫し,流域のほぼ全員が犠牲となってしまったら,証言さえ聞けない。その中に「スクリプト無効で防災情報が見れたら助かったかもしれない人」がいたとしても調べて分かることではないし,逆に「スクリプトが原因で防災ページが見れなかった人が犠牲になっている」としても,検証できないから,原因のスクリプトはそのままにされ犠牲者が出続けてしまう。検証できないから,スクリプトを仕込んだ側はいくらでも「スクリプトが原因だとは考えられない」と言えてしまう。「死人に口無し」なのである。これが一番怖い。防災上重要な情報に,「見れない要因」になるスクリプトの使用は極力避けるべきだと,筆者は思う。
 ちなみに筆者サイトは独自開発で,スクリプトがほとんどなく,その有効/無効に関わらず見た目はほぼ同じ,しかも表示も速いはずだ。

 今回も,偽装サイトを通報しようとしたら意味不明な Google サイトの記事が表示されたわけだが,それも「スクリプト無効」の設定だったから,通報するのに実行が必要だった Google のスクリプトがまともに機能しなかったためかもしれない。
 実際,その後 JavaScript が機能する状態にして,通報後の意味不明な Google の記事を読み直したところ,「ReCAPCHA」と書かれた画面が表示された。つまりその ReCAPCHA とやらが,スクリプトが有効になっていないと機能せず,無効だったためそこから先に進まなかった可能性がある。ReCAPCHA とは,たぶん「ロボット」と呼ばれるソフトウエアが自動でウェブページを読んで処理するのを防ぐためのもの。たとえば「メールアドレスを提供するサービス」などでは,その「ロボット」から操作されて勝手にバカスカアドレス作られても困るので,それを防止し,確実に「人間に」サービスを提供できるようにするため,人間でなければ判別できないような……たとえば,写真に自動車は何台写っているかなどの質問が表示されるのが一般的。今回も,その機能が「スクリプト」に仕込まれていたため呼び出されたのだろう。意地でもスクリプトを使わないと通報できない仕組みのようだ。
 今回は「ロボットではありません」というチェック項目だけで,写真などは表示されなかった。もちろん,ロボットではないのでチェックしたものの,それ以降はうんともすんとも反応がなくなった。
 じつはその Google の ReCAPCHA という仕組みは,筆者が使っているパソコンでは,うまく機能することがめったにない。何度チェックしても「『ロボットではありません』にチェックしてください」という項目が再表示されるだけとか,そんなことばっかり。今回の場合も,筆者は「チェック項目だけ」表示される状態しか見れていないが,じつは筆者の使っているブラウザと相性が悪く,自動車が何台か写った写真を表示させる前段階でバグって,その先に進まなくなっていた可能性もある。
 理由はどうであれ,結果的には「偽装サイトの報告を受け付けない」状態であることには違いない。犯罪防止に前向きに取り組んでいるとは思えない。これが Google の姿勢……少なくとも,筆者の置かれた状況からはそう判断せざるを得ない。

 このことで Google にクレームしたところで,回答は分かりきっている。おそらく,「サポート対象のブラウザでご利用ください」と言われるだけだろう。つまり,偽装サイトの報告も「サポート対象のブラウザからしか受け付けません」的な主張を平気でされるのがオチだと思う。自社製ブラウザを使わせることを優先し,犯罪防止は二の次……それが Google の姿勢……この状況からはそう判断せざるを得ない。
 ウェブサービスを提供する企業は,よくこんなふうに「サポートするブラウザ」とか何とか言って,まともに動作することを保証するブラウザを限定してしまったりする。今回の Google の ReCAPCHA という仕組みも,やはりその辺りが理由で,筆者が使っているブラウザがサポート対象外だったため,先に進まなかった可能性が考えられる。
 しかしだ。もしそうだとするなら,「詐欺サイトの報告」を,ブラウザがサポート対象外であることを理由に「拒否」するようなもの。犯罪防止よりサポート対象ブラウザを限定することを優先していることになる。それでネットの安全性が高まるとはとても思えない。「偽装サイトの通報が Google 指定のブラウザからだけに限定され,その他のブラウザからの通報は受け付けられない」ような状態を放置することに正当性などあるだろうか。しかし,今まさにそんな状態。Google のこの姿勢は,偽装サイトの暗躍を許してしまうようにしか感じないのだが。

 Google に限った話ではない。ネットバンキングやその他のサービスなど,たいていの企業はウェブ上のサービスでサポートするブラウザを限定してしまうことが多い。しかし,広く多くの人に使ってもらうべきサービスで,ブラウザを限定してしまっていいのだろうか。特に今回の「偽装サイト通報システム」などは,目的が目的である。「ネット犯罪をなくして安全性を高める」といった,全てのネット利用者に確保されるべきシステムであり,ブラウザにもそのバージョンにも関わらず利用できるよう作られてしかるべきではないだろうか。
 筆者の場合,「最新の(対応)ブラウザ」を手に入れられない現在の最大の理由は,コロナウイルスの影響で新しいパソコンを入手するには経済的につらい面が大きい。が,世の中には,筆者より深刻な理由で,そう簡単に最新のブラウザに切り替えられない事情を抱えた人もいる。代表的なのが「障害者」だ。そうした方々は,その方の障害に合わせて調整したアプリを設定したパソコンを使っていることがある。しかし,もしそのアプリが新しいパソコンやブラウザに対応していなかったら,その方は新しいパソコンを使うことをあきらめるしかない。パソコンやブラウザが新しくなるとパソコンが使えなくなってしまうのだから。そうした方々は,多少は危険性があると分かっていても,古いパソコンを使い続けざるをえない。「最新のブラウザ」どころではないのだ。
 つまり,ウェブサービスの提供を特定ブラウザに限定してしまうと,そうした人たちはサービスを利用できなくなっていくわけだ。パソコンやスマホを次々と新しいものに乗り換えられる人向けのサービスなら,それでも問題ない。そうやって新しいものを買わせてガッポガッポ稼げばいい。だが,偽装サイトの報告を受け付けてネットの安全性を確保するサービスが,「古いブラウザやパソコンを使わざるを得ない障害者は利用できない」ような仕組みでいいものだろうか。自由に外に行けない障害者が,長らく自宅でネットを見ているうち,たまたま偽装サイトを見つけても,通報はできないし,何よりも,「サポート外」を理由に,その人のブラウザの安全性が確保されなくなってしまう可能性がある。
 筆者が最新ブラウザを使わない理由は,経済的なものもあるが,筆者が作ったウェブ記事やウェブサービスなどで,そうした人たちが利用できなくなることがないよう検証できるようにしておく意味もある。逆に「サポート対象ブラウザでご利用ください」といった対応は,そうした人たちを突き離すものであって,「バリアフリー」にも逆行するものだと思う。「バリアフリー」とか,「サステナブル……」なんちゃらなどと言っている企業も多いが,それら企業が提供するウェブサービスで,サポートブラウザを限定し,サービスが受けられなくなる人が出ている可能性が放置されているとしたら,ちゃんちゃらおかしい。

 だいたい筆者に言わせると,サポート対象を限定してしまうほうが,セキュリティの脆弱(ぜいじゃく)性が増す気がする。逆に言えば,サポートするブラウザを限定しないほうが,防犯対策になると思うのだ。
 ある日,知り合いが買った新しいパソコンで,けたたましい警告音が出て,たまたま居合わせた筆者が助けを求められた。画面には「トロイの検出がなんちゃら,直ぐにセキュリティを更新してなんちゃら……」といった表示。その下に「セキュリティ更新」のボタン。いやいやいやアヤシイって。使用者にはボタンを押さないようお願いして,そのウルサイ警告音もしばらく我慢してもらいつつ,別のパソコンからその現象について調べたところ,案の定「偽セキュリティ画面」のようだった。ブラウザを閉じてことなきを得た。
 もう一度言うとそれは「買ったばかりのパソコン(中古ではない)」で,ブラウザは「エッヂ」である。つまり「最新のブラウザ」である。「最新のブラウザ」で,「ニセ警告画面」を引っ張り込んだのである。どうやら,エッヂと他の一部のブラウザで,こちらがアクセスしていないサイトに,勝手につながって表示されるものらしい。どちらも,よく「サポートするブラウザ」の対象にされているものだ。
 念のためもう一度言うと,その時点で「最新のブラウザ」だったのである。「セキュリティのため『最新のブラウザ』をお使いください」などとよく言われるが,この時起きたことは,最新のブラウザによって,逆にセキュリティが脅かされたということだ。
 なぜこういったことが起きるのか。おそらくだが,多くサポート対象とされているブラウザが特定のものに限られるため,詐欺集団は,それさえ狙えば「カモ」を増やせる……つまり,そのブラウザの脆弱性さえ把握していればいくらでも「騙す」機会が作れることになるから,その研究体制が詐欺集団内に既に整っているためではないかと思う。あとはアップデートの度に何かと脆弱性を探し出して,セキュリティホールを突けばいいわけだ。よくサポート対象とされるブラウザのアップデートほど,常に狙われている可能性が考えられるのだ。
 一方,サポートブラウザを限定しなかったらどうなるか。人が作るものである以上,どんなブラウザにも何がしかの脆弱性はあるだろうが,ブラウザの設計が異なれば脆弱性もまた違って来るだろう。この場合,ブラウザごとに脆弱性が異なれば,特定の脆弱性を狙って詐欺を仕掛けても,それに引っかかるのは「一部のブラウザ」に限られてしまって,騙す「うまみ」がなくなる。「うまみ」とは,たとえば,多くのサービスでサポート対象ブラウザが特定のものに限定されていると,そのブラウザの脆弱性さえ狙えば引っかかる人が大量に出て一機に稼げる可能性があり,あとはサッと逃げれば手元に大金が残ることもあるだろう。これが「うまみ」で,騙す側はそれこそが狙いだ。が,使われるブラウザが人ごとにバラバラだと,脆弱性もバラバラ。特定のブラウザの脆弱性を突いても,騙せるのはそのブラウザだけで,大量にお金を騙し取るのは簡単ではなくなる。お金がまとまる前に犯罪がバレて,捕まるリスクのほうが大きくなって来る。筆者が「サポートブラウザを限定しないほうが安全では?」と考える理由はそこだ。つまり,サポートブラウザを限定しないことは「リスクの分散」になる。だから,限定すべきではないと思うのだ。
 では,サポートブラウザを限定しないウェブサービスとはどうすればいいのか。特定のブラウザのみで動作を検証するのではなく,なるべく多くの種類のブラウザで同じ動作をするような開発ができれば,それに越したことはない。が,それでは少々負担が大きい。もう少し軽い負担で実現したいなら,「標準」としてなるべく古いブラウザを選び,それで使える機能に絞ってシステムを作るべきではないかと思う。なぜかと言うと,新しいブラウザで新たに使えるようになった機能は,古いブラウザでは使えないので,古いブラウザはサポートの対象から外さざるをえなくなるわけだが,逆は少ないから。古いブラウザで使えた機能が,新しいブラウザで機能しなくなることはほとんどないからだ。
 昔の「i モード」の頃は,CHTML という規格があった。「コンパクト HTML」のことで,HTML から複雑な処理を必要とするものを除外したものだった。それでも様々な手続きが,携帯電話だけで,ある程度安全にできていたはずだ。今そこまで機能を落とす必要もないと思うが,最新ブラウザの最新機能を早々と取り入れて,開発段階では気づけなかったセキュリティホールの抜け穴を犯罪者に突かれて対策に追われてばかりいるほうが,コスト的に高くつくのではないか。むしろ,以前より確実に動作することが分かっている機能をうまく使って安全性を考えた技術を確立し,それでウェブサービスを構築したほうが,安くて安全ではないかと筆者は思うのだが,どうだろう。
 というわけなので,もしこの記事を読んでも,まだ広く様々なブラウザへの対応を考慮せず,特定のブランドの最近のバージョンのみに限定して,「サポート対象のブラウザでご利用ください」などと,利用者にお願いするようなサービス業者は……つまりは「セキュリティに対する考え方がその程度」と見られても仕方がないと思う。

 じつはその後,「偽装サイトの通報」自体できなくなってしまった。ヘルプメニューにある該当項目が反応しなくなってしまったのだ。後に一時的に復活したが,やはりまた直ぐに使えなくなった。サポート対象外のブラウザだから,機能を無効化されてしまったのだろうか。まぁ,これが今の Google の姿勢と解釈するしかない。

◆ 「民間委託」が弱者をさらに突き落とす

 もし今この記事をお読みいただいているのがお役所の方だった場合,ウェブサービスの開発などを「民間に委託する」ことは,述べたようなリスクを孕むのだということを十分お考えいただきたいと思う。ネット犯罪防止のための偽装サイト通報システムや,今なら,感染症が疑われた際に検査できる機関の検索システムなどは,あまねく民衆に利用可能であるべきウェブサービスのはずだが,そうしたシステム構築の依頼を受けた業者が「サポート対象のブラウザ」を限定してしまい,他のブラウザを使っている人が「利用できない」とクレームしても,「サポート対象のブラウザでご利用ください」などと「門前払い」をしていては,「あまねく……」どころではない。何より,古いパソコンしか使えない障害者を確実に見捨てる対応である。たとえば,マイクロソフトやその提携企業であれば,Edge といったブラウザが推され,Google やそこと関係の深い企業に委託すれば,Google のサービスに特化したブラウザである Chrome が推されたり,Google 開発の OS である Android などの,それぞれ最近のバージョンだけ動作確認して「どれでも使える」という扱いにされ,障害対応の関係で古いバージョンや特殊なブラウザを使っている障害者などが利用できないまま放置されるようでは,「誰でも使えるようにする」はずのシステムの目的に適わないことになる。
 特にそうした業者は,サポートブラウザを実質的に限定していても,「(当社が推奨しているブラウザなら)どのブラウザでも使える設計になっています」といったような報告を(括弧内は明示しないで)平気でする可能性があるから,注意が必要だと考える。念のために言っておくと,Google の偽装サイト通報ツール,または ReCAPCHA の仕組みは,筆者が使っている環境ではまともに動作せず,実質的に「偽装サイトの通報を阻害され,防犯対策の障害になっていた」のである。ブラウザの「偽装サイト通報ツール」について Google に問い合わせて「どのブラウザからも使えますよ」などといった回答が返って来たら,つまり前出の括弧内を明示的に伝えないようにしているということである。そのことを Google に問い詰めたところで,「それは(期限切れの)サポート外のブラウザですよ」と,悪びれずに言われるだけだと思う。サポート外のブラウザで動作しないということは「どのパソコンからも使える」とは明らかに事実に反するが,おそらくそうした認識もできないはず。
  GAFA と呼ばれ「超」がつくほど大手となれば,末端は「会社に間違いはない」的思考に陥り,障害者などの新しいパソコンを使えない人に対する「気遣い」ができなくなっていくと思う。信じないほうがいい。

 というわけで,本来なら真っ先にできていいはずだったブラウザからの「偽装サイト通報」は,Google の変なシステムに阻まれ,通報できたかどうか分からないカタチとなった。が,あくまでも筆者の環境での話なので,今これを読んでいる方がもし同様なサイトに出くわしたら,ここに述べた方法でためらわず通報を試みてほしい。

◆ DNS システムに止める仕組みはないのか?

 それにしても,サイトには「ドメイン(ホスト名)」で誘導されるのだから,そこを止めるわけにはいかないのかと思う。たとえば,今回の詐欺サイトに利用されたドメインは,末尾が「.cc」となっている。どうやら,オーストラリア領の「ココス諸島」に割り当てられたドメインのようだが,それなら,そこに登録されている詐欺サイトのホスト名にアクセスしようとした時,その .cc を管理している組織で「該当するドメイン情報の提供を止める」こともできそうな気がする。
 ブラウザにもたくさんの種類があり,開発もバラバラで,統一された「警告を出す仕組み」をそれぞれに仕込めるかどうか分からない。もしドメイン名からホストコンピュータへの結びつけが止められれば,ブラウザが何であろうと詐欺サイトへのアクセスを一斉に不可能にすることができる。そうした仕組みは作れないものなのだろうか。
 ただ,その詐欺と思わしきサイトは,現在つながらなくなっている。ひょっとすると,述べたようなものに似た仕組みが既にあり,機能した結果なのかもしれないが,詳細は不明。

 一方,フィッシング確認サイトで見た限り「ノーマーク」のようだ。以下の画像を見てほしい。

▼ 偽装サイト確認サービス
偽装サイト確認サービス

 「(たとえ詐欺サイトだろうと)つながらないから安全」という解釈をしているのかどうかは,この結果表示だけからは判断できない。
 ただ Google は,通報した翌日あたり,サイトがつながっていた頃からずっと「○ SAFE」のマークのまま変化がなかった。思い出して欲しいのは,ブラウザから偽装サイトを通報しようとしたら,Google のものと思われるサイトの意味不明な英語記事が表示されて,そこから先に進まなかった……と述べたこと。これが Google の防犯意識だと思う。

◆ 関連組織への提案

 うまくいったかどうかわからないブラウザの「偽装サイト通報機能」などはさておき,通報した他の組織(フィッシング対策協議会,カード会社)は,「報告を受け付けた」旨の確認のメールをくれた。この記事に興味を持って開いた方は「フィッシング」がネットの詐欺であることくらいご存知と思うが,しかし世の中,知っている人ばかりとは限らない。受け取った返信の内容は,果たしてそうした方にも分かるものなのだろうか。そして,サイトの説明はどうだろうか。その辺り,ちょっと引っかかっている。こうしたネット犯罪を減らしたいなら,もっと工夫できることもあるではないかと思う。たとえば,以下のような点。

 次節以降で個々に詳しく見てみる。

◆ 詐欺の手口を詳しく記載すべき

 「フィッシング」といえば,普通は「魚釣り」のこと。カード会社の実際のサイトによく似せたログイン画面が「疑似餌(ルアー)」とみなせば,似たようなことなのかもしれない。ただ,かなやアルファベットで書かれても,何のことか分からない人も多いと思う。
 たとえば「『フィッシング』と思われるサイトは通報してください」と言われても,その「フィッシング」がどういうものなのか知らない人は,目の前で見ているサイトがどんなに「詐欺っぽい!」と感じても,通報しないだろう。「それをフィッシングというのだ」と分からないのだから。あるいは,「魚釣り」関連業者のサイトがドカドカ報告されてしまったりとか……さすがにそれはないか。
 筆者の元には,普段もカード会社と銀行からメールが送られてくる。ただ,カード会社から来るメールは「ご利用のお知らせ」だけ。いくら使ったのかは記載されていない。あちらこちらでカードを使えばメールも複数来るわけだが,毎回確認するのが面倒になって「時間のある時にまとめて見る」ことになる人も多いと思う。そこでもし「見たことない金額」のメールを受けたら,直ぐに不正使用を疑い確認する気を起こすかもしれない。が,残念ながら,金額まではメールに書かれていない。
 一方,銀行からのメールには,毎回「金融機関等を装う電子メールにご注意ください」と書いてあるが,「フィッシング」という文言やその説明は見たことがない。金融機関を装うメールは,その場で気付きにくいように作られるのだから,どんな「金融機関等を装うメール」が来るのか知らないと,いくら「ご注意」したって気付けるかどうかは疑問。
 だいたい,どういった詐欺の手口なのかよく知ってもらってこそ防犯につながるのではないか。企業から送られて来るこういったメールは,たいていはサービスの宣伝か単なる「お知らせ」だ。中には「安全への取り組み」に関するウェブ記事の紹介もあったが,該当の記事を見たら「銀行の中で頑張っている人が居ます!」的な話で,当記事で紹介しているような,どんなメールが詐欺なのかの具体例とか,自衛対策などは書かれてはいなかった。「頑張っている人が居ます!」的なお知らせが安全の向上になるのかどうか,考えたほうがいいような気がした。広告もお知らせも伝えたいことに変わりないのだろうが,防犯が重要と考えるなら,それらのメールに,ちょっとずつ詐欺の手口などの説明を入れて周知を図ってもいいように思う。そこまでしていない事実を見ると,残念ながらカード会社や銀行にその意識は薄いと判断せざるを得ない。

 一方「フィッシング対策協議会」も,アマい感じがする。フィッシングとは何か?……いちおうトップページに書いてある。それがこちら。

~フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

 この説明で今回のような「偽装サイトへの誘導メールを送りつける」という手口があると知ることができるのか。「どういった手口で騙そうとするのか」を知らなければ,その「騙そうとしている」状況が分からず,「これは通報すべきだ!」という判断もできない。周知させるべきは,そこではないのか? しかも,最大の「被害」は,個人情報を抜き取られることではなく,それが悪用され,勝手に預金を引き出されたり使われたりするほうのはずだが,そこまで書かれていない。これでは,協議会のウェブページを見て危機感を持つ人がどれほどいるかは疑問。説明の字も小さいし。
 「トップページ」に掲げるべきは「どんなメールがアヤシイのか」だと思う。そして,「こんなメールを受けたらこのサイトに通報して!」と,通報を促すことだと思う。それを見れば「そういえばそんなメールがあった!」と気付く人もいるだろうが,どんなメールがアヤシイのか分からなければ,該当カードを持っていないなど,受け取ったメールに心当たりがなければ,受信者はスルーするだろう。すると,カード所有者に届いた同じメールで,詐欺被害が出る可能性が残ってしまう。

 カード会社も金融機関も,協議会にしても,やっていることが「オヤクショ仕事」的に感じる。ここで言う「オヤクショ仕事」とは,メールで触れさえすれば,あるいはサイトを公開して,そこに通報の呼びかけや説明を記載しさえすれば「目的は果たせた」と解釈する傾向のこと。「官報に掲載しさえすれば,全国民に知れ渡る」と考える役人と同類。それらメールや記事で重要なのは,実際に「防犯」につながるかどうかだが,その「検証」がまるでない。これぞ「オヤクショ仕事」である。
 何度か言っているが,筆者は現在,コロナの影響で無収入転落組ではあるが,目下ウェブサービスについて研究中。もちろん,セキュリティの安全性は最重要課題。だからこそ,今回の詐欺メールも様々な機関に通報する気になったのだが,そんな意識を持つ筆者から見ると,カード会社や金融機関,関連組織は,ネット犯罪に対する危機意識がちょっとアマいのではないかという感じは否めない。

◆ 詐欺サイトの通報先をメールに記載せよ

 めせて,「利用のお知らせ」や「サービスの宣伝」など,カード会社や金融機関から送られるメールに,疑わしいサイトやメールに出くわした時の「通報先を記載する」ことくらいできないのかと思う。
 今回も,筆者は詐欺メールを受け取って「通報すべきだな」と思ったはいいものの,結局その通報先は自分で検索して調べる必要があった。何だか,そうしたメールを受け取った者としての「通報の義務感」的なものがあって調べたが,その手のメールを受け取った人がみんな,果たして自分で調べてまで通報するかは疑問だ。
 もし銀行やカード会社から送られてくるメールに,「疑わしいメールを受け取ったらこちらに通報してください」といった通報先が記載されていれば,詐欺メールを受け取った時「そういえばカード会社のメールに通報先が書いてあったな」と思い出し,ちょいと過去のメールを見返して通報する機会も増えそうな気がする。何より,検索などで「調べる必要がない」のだから。
 メリットは他にもある。通報先を記載すると,詐欺メールを判断する重要な「ヒント」になると思う。というのは,詐欺メール自身が,そのメール内に「疑わしいメールはこちらに……」なんて通報先を記載すれば,「お前が怪しいンじゃ!」と直ぐさま通報されてしまう可能性があるから,かなりバレない自信がない限り記載はしないだろう。つまり,通報先を堂々と記載できるのは「本物のメール」ということになる。すると,金融機関らしきアドレスから届いたメールで,本文にその通報先が記載されていないものは「詐欺の可能性」と判断できることになる。メールソフトにある「振り分け」の機能を使って,本文にその通報先が記載されているかどうか判断させれば,「詐欺の可能性のあるメール」を自動的にはじき出すことが可能になる。
 そして,もし記載するなら,業界全体で統一した通報窓口にしたほうがいいだろう。というのは,相手が「ダマすプロ」なら,ニセの「通報窓口」を作るくらい簡単だろうから。すると,「疑わしいメールはこちらに……」と,通報に何の効果もない通報先を記載することもできてしまう。ところが,もし業界で一致結束して,通報先を「1つ」に決めてしまえば,「こちらに……」と記載された通報先がそこでなかったら,「怪しい」……というか,詐欺メールであることは「ほぼ確実」と言えるレベルの判断が可能になると思われるからだ。

◆ 業界で「確認サイト」を統一してはどうか

 今回,最初に「通報先」としたのは「フィッシング対策協議会」という機関だったが,他にも通知先……というか,ブラウザのところで述べた,「詐欺サイト」のデータベースに登録されていないかどうかを確認できるサイトがいくつかあった。
 いや,いくつも要らないのだ。実質的には,「確実な確認」のできるサイトが一つだけあれば事足りるはずだ。
 それをむずかしくしているのは,おそらく企業ごとに,またサービスの内容ごとに,バラバラなドメインの決め方をしていることが一因だと思う。新しいサービスやクレジットカードができる度,新しいドメインを作ったりしていれば,初めてアクセスする人は,そのウェブアドレスが正規のサイトのものかどうかを確認する方法がないわけで,判断材料がかなり限られる。そこに「詐欺メール」が届いてしまったら? 疑う要素がほとんどないことになる。
 そうしたリスクを防ぐため,たとえば,フィッシング対策協議会のような公的サイトに,「正規のサービス提供アドレス」を登録する制度を作り,その公的サイトでなら必ずチェックできるようにしてもいいのではないか。その公的サイトを経由してアクセスすることで,登録のものだけが正規のアドレスに誘導されて,他のアドレスは「登録がないため偽装サイトの可能性あり」といったメッセージでも出るようになっていればいいのではないかと思うのだが,どうだろうか。

 たとえば仮に「フィッシング対策協議会」に登録するシステムにしたとすると,新しいクレジットカード会社が,https://www.new-card.jp というサイトでサービスを開始したら,この URL を協議会に登録し,以下のようにして呼び出せる手段を提供するとか。

▼ フィッシング対策協議会を経由して URL を確認(案)
   https://www.antiphishing.jp/ok?url=https://www.new-card.jp

 協議会のサーバは,そこに登録されていれば new-card 社のサイトにリダイレクトするレスポンスを出せばいいわけだ。
 一度この方法で該当 URL が呼び出されれば,以降は new-card 社のサイトを直接呼び出しても安心ということになる。

 あるいは,URL ではなく,一種の ID 的な「サービス名」を決めて,それを登録する方法でもいいかもしれない。前述の例で,サービス名を「new-card」としたなら,以下のようにして呼び出す。

▼ フィッシング対策協議会を経由してサービス名を確認(案)
   https://www.antiphishing.jp/ok?service=new-card

 いっそこういうことは,国が率先して,たとえば .go.jp ドメインで確認できるサーバを提供すれば,信用度も高まるのではないか。

▼ 国が確認サーバを提供(案)
   https://site-check.go.jp/new-card

 これで詐欺を「撲滅」するには,極力「全ての」金融関係のサービスを,その「公的サイト」経由で確認可能にする必要があるだろう。この場合,企業が独自に作った「凝ったドメインで利用者の関心を集める」ようなやり方はむずかしくなるが。ただ,実現は可能だし,犯罪防止の観点で具体化できそうな案だと思うのだが,どうだろう。

 でも,それができるのであれば,「通報先」を統一することも可能なような気もする。今回は,フィッシング対策協議会とカード会社に個別に通報し,それぞれで「対策に活かします」的な返信が来たわけだが,この2者が「連携して対応しています」といったような明確な記載はなかった。協議会からの返信には「ブラウザ等で警告が表示されるよう、セキュリティベンダへの URL 共有なども行っております」などと書いてあったが,カード会社からの返信には,どういった対処をするのかの記載はなかった。
 ただこの状態だと,通報するほうもされるほうも負担が大きいのではないだろうか? もしカード会社からの返信に「フィッシング対策協議会にも情報を共有して対策し……」などと記載があれば,以降は「では協議会側に通報するだけで(あるいは,どちらか1箇所に通報すれば)済むのだな」という解釈もできて,以降は「1箇所だけで済むから」と気軽に通報できる気もする。が,実際のところは分からない。

 ネット犯罪では,騙している相手が見えない。騙されてしまったら,相手を特定すること自体がむずかしい。だからこそ,ネット犯罪の防止は,業界と関係する公的機関の全体で連携して取り組むべきだと思う。

● メール自体のツッコみどころ

 ではここで,メール自体にいろいろツッコんでみよう。

◆ 腰が低そうで偉そうだし

 まず最初。

▼ 本文1行め

客さまの「三井住友カード」が第三者に利用される恐れがあります。

 本当に「客さま」と書いてある。「お」はどこに行った? 単純に全コピペしたため,コピペの際に落ちたわけではない。

◆ 繰り返すし

▼ 本文2~3行め

 いついつも三井住友カードをご利用いただきありがとうございます。
 いつも三井住友カードをご利用いただきありがとうございます。

 「いついつも」?(笑)ポエマーかよ。しかも,なぜ2回言う?

◆ 日本語が変だし

▼ 本文4~6行め

 弊社では、お客様に安心してカードをご利用いただくことを目的に、
 第三者による不正使用を防止するモニタリングを行っています。
 当社の検出を経て、第三者が不正利用されてる恐れがあります。

 「弊社」だったり「当社」と言ったり,言葉遣いが安定していない。
 ネットで検索したら,他にも「モニタリングのため……」とか書かれている詐欺メールが届いたなんて話も出て来た。「モニタリング」って言葉を使いたいだけじゃねーか? しかも意味分かってなさそうだし。
 最後の行の「不正利用されてる」とか,「『い』抜き」言葉は「話し言葉」であって,記述文では使わないだろ普通。
 だいたい「第三者『が』不正利用されて」いるとか,助詞の使い方もおかしいし。第三者「が」不正利用されたって知ったこっちゃねーよ。

▼ 本文7行め

 お忙しいところ大変恐れ入りますが、下記リンクで再登録行ってください。

 「を」が抜けとるし。やはり助詞の使い方がおかしい。
 しかも再登録を促すようなことを言っておきながら,手続きのできる URL が記載されていない。これじゃ手続きできねぇ。
 ただ,筆者が使っているメールソフトは「テキスト向け」で,リンクの URL を仕込める HTML は直ぐには表示できない。じつは,そうしたソフトを使っている理由には,マサに今回のような「犯罪対策」の意味がある。詳しくは後述「◆ テキスト向けメールソフトによる対策」の節を参照。

▼ 本文8~9行め

 なお、ご契約いただいているカードについては、第三者による不正使用の可能性がございますので、カードのご利用を一時的に停止させていただいている、
 もしくは今後停止させていただく場合がございます。ご不便とご心配をおかけしまして誠に申し訳ございませんが、

 この辺りが「脅し」なのだろうが,やはり日本語としておかしいし。「停止……」云々は,何が言いたいのかよく分からん。

▼ 本文 11~12 行め

 至至急、三井住友カード会員サービスに情報を再登録してください

 
  VpassID ログイン

 この「至至急」というのも,本文そのまま。
 そして,上の行の「再登録」の文字部分と下の「VpassID ログイン」の部分には,メールの HTML の側に同じリンクが付けてあったが,普段見ているプレーンテキストでは URL の表示がないため,分からない。それでどーやって「再登録」の手続きをしろってンだ?
 通常は,HTML のメールをプレーンテキストで表示していても,HTML 側にあるリンクの URL くらい記載されているものだ。そうでないと,筆者のようにプレーンテキストでメールを読む人は手続きができない。が,このメールにはないのだ。やる気のない「詐欺メール」である。

 ……とまぁ,本文に関しては,ツッコみ処はこんなところ。

◆ 「ソース」を見ればバレバレ

 既に,本文のツッコみ所だけで「お腹いっぱい」気味で,ほぼ「詐欺メール確定」と言えるかもしれないが,言葉遣いがもう少しマシだったら,「疑い度」はもっと低かったかもしれない。
 金融機関や関連業者からのメールで,特に今回のような「早く手続きしないと使えなくなるかもよー」的な内容のものは,「鵜呑み」にはしないほうがいいだろうが,時として「本当に」手続きが必要な「正規の連絡」だった場合,「詐欺メール」とどう区別をすればいいだろうか。本文以外で「詐欺」かどうかを知る手掛かりはあるだろうか。
 メールというのは本文の他に,宛先やら発信者やらの情報が記録される「ヘッダ」と呼ばれる部分がある。時として,「手紙」に例えられて「エンベロープ(封筒)」とよばれることもある。普段,その部分を気にすることはないと思う。つまり,普段メールソフトが表示しているのは,「ヘッダ」を除いた本文の部分だけということ。
 では,その「ヘッダ」にはどんな情報があるのか。じつは,どこの国にあるコンピュータから発信されたかなど,細かい情報を含んでいる。メールソフトで,該当のメールが表示された状態で [Ctrl]+[U] と押すと,たいていはそのメールの「ソース」を見ることができる。ソースとは,ヘッダ部分を含むメール全体のこと。添付ファイルがどうなっているかなど,全てを見ることができる。
 では,筆者の元に届いた「詐欺メール」のソースを見てみよう。なお本来,日本語はヘッダ部分には直接記載できず,アルファベットに置き換えられた文字列になっているが,ここでは分かり易いよう,日本語に戻した状態で記載した。また,うっかりアクセスすべきでないアドレスやドメインは,一部改変した。

▼ 詐欺メールの「ソース」
  01> Return-Path: <kefu@yyyyyyy.cn>
  02> Delivered-To: zzzzzz@treeware.jp-help.net
  03> Received: from xxxxx3.lllllll.com
  04> 	by xxxxx3.lllllll.com with LMTP
  05> 	id q0UmDdgE/l9CGwAA1+Vh+w
  06> 	(envelope-from <kefu@yyyyyyy.cn>)
  07> 	for <zzzzzz@treeware.jp-help.net>; Wed, 13 Jan 2021 05:21:44 +0900
  08> Return-path: <kefu@yyyyyyy.cn>
  09> Envelope-to: zzzzzz@treeware.jp-help.net
  10> Delivery-date: Wed, 13 Jan 2021 05:21:44 +0900
  11> Received: from [116.85.46.177] (port=33902 helo=yyyyyyy.cn)
  12> 	by xxxxx3.lllllll.com with esmtps  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  13> 	(Exim 4.93)
  14> 	(envelope-from <kefu@yyyyyyy.cn>)
  15> 	id 1kzQAf-0001p6-Ty
  16> 	for zzzzzz@treeware.jp-help.net; Wed, 13 Jan 2021 05:21:44 +0900
  17> Received: from yyyyyyy.cn (unknown [116.85.44.116])
  18> 	by yyyyyyy.cn (Postfix) with ESMTPA id 537AE1EA4A32
  19> 	for <zzzzzz@treeware.jp-help.net>; Wed, 13 Jan 2021 03:25:34 +0800 (CST)
  20> DKIM-Filter: OpenDKIM Filter v2.11.0 yyyyyyy.cn 537AE1EA4A32
  21> Message-ID: <456D6A8545E56EA5B14F95D5EA7D22D3@yyyyyyy.cn>
  22> From: 三井住友カード <info@vvvvv.ne.jp>
  23> To: <zzzzzz@treeware.jp-help.net>
  24> Subject: 【重要なお知らせ】【三井住友カード】が第三者に利用される恐れがあります。
  25> Date: Wed, 13 Jan 2021 03:25:24 +0800
  26> Mime-Version: 1.0
  27> Content-Type: multipart/alternative;
  28> 	boundary="----=_NextPart_000_0A30_01B7BCDC.17D881F0"
  29> X-Priority: 3
  30> X-MSMail-Priority: Normal
  31> X-Mailer: Microsoft Outlook Express 6.00.2900.5512
  32> X-MimeOLE: Produced By Microsoft MimeOLE V10.0.17763.1
  33> X-Spam-Status: No, score=1.5
  34> X-Spam-Score: 15
  35> X-Spam-Bar: +
  36> X-Ham-Report: Spam detection software, running on the system "xxxxx3.lllllll.com",
        :(中略)
  61> X-Spam-Flag: NO
  62> 
  63> This is a multi-part message in MIME format.
  以下,メール本文

 では,以降でチェックすべき点を細かくみてみよう。

◆ 返送先(Return-Path)

 まず1行めと8行めには,以下の記載がある。

▼ 詐欺メールの「返送先(Return-Path)」
  01> Return-Path: <kefu@yyyyyyy.cn>

 Return-Path というのは,一般の配達物でいう「返送先」に当たる。相手のアドレスが見つからなかったり,何らかの理由で相手サーバまで届かなかったりした時にエラーメッセージを送るアドレスを記載する。だから,正しくカード会社から発送されたメールなら,この返送先もそのカード会社のドメイン(@ から後の部分)になるはずだ。が! このメールはそうではない。しかも末尾が .cn ……これは中国だ。つまり「届かなかったら中国に返送される」ということ。日本のカード会社から出されたメールで,こんなことがあるはずない。詐欺である。

◆ 中継サーバ(Received)

 メールは相手のコンピュータから直接届くことは「まれ」で,いくつか別のサーバ(コンピュータ)を経由することが多い。経由したサーバの経路が Received の部分に記録される。複数のサーバを経由すれば,Received も複数存在することになる。その中で,最も下にあるものが最初に中継したサーバで,つまり,発信元のコンピュータに一番近いもの。このヘッダでは 17 行めにあり,そこにはこう記載されている。

▼ 中継サーバ(Received)
  17> Received: from yyyyyyy.cn (unknown [116.85.44.116])

 from の後には,中継したサーバが,どこから受け取ったかが記載される。行末近くにある [116.85.44.116] というのは「IP アドレス」と呼ばれるもので,インターネットにつながっている全てのコンピュータの「整理番号」のようなもの。世界で唯一のものなので,この番号から発信元のコンピュータがどこにあるか特定することができる。発信元はここである可能性が高い。
 もちろん,それを調べるサイトもいろいろある。たとえばこちら。

▼ WebAnalysis(IP アドレスを調べるサイト)
https://awebanalysis.com/ja/ip-location-lookup/

 上記で,「IPv4またはIPv6アドレスを入力してください」とある枠内に IP アドレスを記載し,下にある[IP詳細およびWHOIS]のボタンを押すと,該当の IP アドレスが割り当てられた国や,接続業者の情報が分かる。上記(116.85.44.116)を入力すると,以下の情報が得られる(括弧内は筆者の補足)。

▼ IP アドレス 116.85.44.116 の調査結果
  Country 	China (←中国)
  State / Region 	Beijing (←北京)
  City 	Beijing (←北京)
  ISP 	Beijing Xiaoju Technology Co. Ltd

 返信先のみならず,「発信元も中国」だと分かる。このカード会社は中国推しなのか? そんなわけない。やはり詐欺である。

◆ 発信者(From)

 22 行めには「発信者」のメールアドレスが記載されている。ここがカード会社のものかどうかを見ても確認できる場合がある。今回の詐欺メールでは,こう記載されている。

▼ 発信者(From)
  22> From: 三井住友カード <info@vvvvv.ne.jp>

 じつは上記アドレスは筆者が改変したが,実際のカード会社のアドレスによく似ていた。このメールでは,ここの確認で詐欺と判別するのは困難かもしれない。

◆ 発信日時(Date)

 25 行めには,そのメールを発信した日時が記載されている。

▼ 発信日時(Date)
  25> Date: Wed, 13 Jan 2021 03:25:24 +0800

 見るべきは,やはり末尾の「+0800」の部分。ここには世界標準時との「時差」が記載される。日本は世界標準時より9時間進んでいるのだから,日本で使われているコンピュータから発信されたメールならば,ここは +0900 となるはずだ。「8時間」の時差がある国は?……中国である。日本のカード会社から出されるメールが,中国時間を使っているはずがない。確実に詐欺である。

◆ メールソフト(X-Mailer)

 31 行めの X-Mailer というのは,発信されたメールソフトが何かを示す。User-Agent という指定の場合もある。このメールではこう。

▼ メールソフト(X-Mailer)
  31> X-Mailer: Microsoft Outlook Express 6.00.2900.5512

 アウトルック? 個人利用者向けメールソフトなのだが? カード会社がそれでこんな重要なお知らせを出すワケなかろう。しかも Express 6 とか。いつのソフトだよ。その昔,セキュリティがすごく問題視されたソフトだし,まだ使っているほうが奇跡だわ。ましてや,カード会社がそんなのを使って出すわけねぇ。詐欺以外の何者でもないのである。

◆ HTML のソースを見てみよう

 本文へのツッコミでは,「手続きする URL(ウェブアドレス)の記載がない」と書いたが,それは筆者が「テキスト形式向け」メールソフトを使っていて,一般的なメールソフトでなら見れるはずの HTML 形式の本文を見ていなかったから。ある意味それも「防犯対策」だ。テキスト形式のメール表示のリンクは URL も必ず表示されるが,HTML では URL を明示しないリンクの表示もできてしまう。テキスト形式なら URL を確認しないままうっかりクリックして詐欺サイトに誘導されてしまうことは,ある程度防げるわけだ。
 最近のメールソフトでは,本文の中で写真やビデオが見れるくらいは「当たり前」なので,気にしない人のほうが多いかもしれないが,それが「HTML 形式」である。つまり,一般的なメールソフトでは,HTML で表示するのが普通というわけだ。が,述べたように HTML というのは,詐欺サイトに誘導される「リンク」を,明示せず,あるいは表示と異なるように仕込めるなど,「防犯」の観点では問題な面もあるわけだ。
 では,今回の詐欺メールを,もしその HTML で見たら,どんな表示になっているだろうか。じつは,見た目にはほとんど違いはない。ただ,「再登録してください」の部分と「VpassID ログイン」の箇所に「リンク」が付けてあり,そこをクリックすると「詐欺サイト」に誘導されるようになっている。HTML のソースを見ると,こうなっている。

▼ 詐欺メールの HTML のソース
  01> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
  02> <html><head><title>无标题文档</title>
  03> <meta content="text/html; charset=utf-8" http-equiv=Content-Type>
        :(中略)
  44>         <p align=left>至至急、三井住友カード会員サービスに情報を<a 
  45>         href="https://www.smbc-vvvvv.cc/">再登録</a>してください</p></td></tr>
        :(中略)
  53>         <p align=center><strong><a 
  54>         href="https://www.smbc-vvvvv.cc/">VpassID 
  55> ログイン</a></strong></p>

 2行めは「タイトル」なのだが……なんだ? 「无标题文档」というのは。調べたら,日本の漢字で書くと「無標題文橙」らしい。つまり,「無題の文書」ということか。カードが無効になるのならないのという重要なメールが「無題」とか? そんないい加減なメールをカード会社が送って来るはずなかろう。満貫レベルに「詐欺」と分かるメールだ。
 で,最も重要な箇所は,45 行めと 54 行めの https://www.…….cc の部分。これがつまり,「詐欺サイト」の URL(ウェブアドレス)だ。まぁ,この記事を見ている人がうっかりそこに飛ばないよう,一部伏せてあるが。とはいえ,末尾の .cc 部分は元のまま。日本のカード会社の手続きでここが .jp でないとか,ほぼ「詐欺」だと気付くだろう。だが何度か述べたように,メールを HTML で表示していると,この URL は本文には表示されない。HTML 表示は,騙すには好都合なのである。
 一方,筆者が見た「テキスト版」のメール本文では,URL は記載されていなかった。記載すればバレるし,記載がなければ,こうやって調べないと分からないから,うっかりクリックして詐欺サイトに飛ぶことはないし,調べれば「確実に詐欺っぽい!」と,やはりバレるのである。

◆ 「署名」が添付されていない

 じつは,筆者の元に銀行から届くメールには,ほぼ全てに「署名」と呼ばれる添付ファイルが付いている。この「署名」とは,そのメールがマサに発信者のサーバから送信されたもので,その後も改変されていないことを「第三者が」証明するもの。だから,少なくともその金融機関を名乗るメールにそのファイルが付いていなかったら,「疑わしい」と判断することができる。もちろん,受け取った「詐欺メール」に署名はない。もし署名があれば,ソースには次の項目が指定されている。

▼ 「署名」のあるメールのソース
  Content-Type: multipart/signed; protocol="application/pkcs7-……

 こうした「発信側」の対策も重要だと思う。

◆ ソースの確認点まとめ

 ソースから詐欺メールかどうかを確認するチェック事項をまとめておこう。まず,該当のメールが表示された状態で [Ctrl]+[U] と押すと,その「ソース」が表示されるので,本文の前にある「ヘッダ」の部分から,以下の項目を確認する。

 このうち Received を除く項目は,メールソフトの「自動振り分け」機能で判断させることができる。つまり,その機能を使い上記の判断をさせて疑わしいメールを通常と異なるフォルダに隔離するようにしておけば,かなり高い確率で詐欺メールを避けることができると思われる。

● 詐欺メールに対する防犯対策

 最初のほうで「普段から,詐欺ならばそうと分かる対策をしていた」と書いたが,ここではその「普段からできる対策」を説明してみよう。

◆ テキスト向けメールソフトによる対策

 まず,詐欺メールの本文には「下記リンクで再登録して」とか書いてあるわりに,該当 URL(ウェブアドレス)は,どこにも記載されていないことを指摘した。重要な手続きをするための URL を知らせてくれないカード会社などないだろうから,その点でも詐欺の疑いは濃厚。
 筆者が使っているメールソフトは Sylpheed(シルフィード)と呼ばれるもの。これも何度か書いたが,HTML 形式で埋め込んだ画像やリンクを通常は表示しない。ほぼ「プレーンテキスト」表示向けソフトだ。
  HTML では,文字の大きさや色,図やリンクの挿入といった指定ができる。写真を埋め込んで一言添えるような使い方もできるため,見栄えのするメールなどには HTML がよく使われる。だから,今どき HTML を見られないメールソフトを使う人などほとんどいないかもしれない。
 一方,「プレーンテキスト」とは,文字情報のみのデータのことで,前述のような指定が一切できない形式。リンクの埋め込みもできないから,HTML 表示に「詐欺サイト」への誘導リンクがあっても,プレーンテキスト表示では URL を別途明記しない限り表示しない。筆者が見たメールに手続き用 URL がなかったのは,発信者がその記載をしなかったためだろう。これが,ある意味「詐欺メール対策」になるわけだ。
 もう想像できると思うが,つまり HTML のメールでは,本物そっくりのロゴにニセサイトの URL を仕込むこともできてしまう。極端には,正しいサイトの URL を表示させておいて,そこをクリックして飛ぶ先のリンクは「詐欺サイト」のものにもできてしまうわけだ。そう,HTML のメールは「詐欺サイト」への誘導にはもってこいなのである。
 その点,筆者が普段使っているメールソフトは,通常はその HTML を表示しない。最初に引用したメール本文は,そのメールソフトからコピペしたものだが,URL の記載が全くないのもそのため。だから,どんなに本物に似せたロゴを掲載しても見れないし,ニセのサイトに誘導する URL を「こっそり」仕込もうとしてもできないことになる。誘導するには URL そのものを掲載する必要があるから,その URL が「普段利用しているサイトのものと違う!」と気付き易く,詐欺だと分かる可能性も高くなるというわけだ。

 筆者は少し前まで,何人かの障害者にパソコンの指導に行っていた。じつはそれらの方は家族の元を離れて,入所施設で暮らしている。そうした事情を持つ方の場合,詐欺メールなどの変なリンクを踏んでしまうと,本人ではどうにもできないし,家族が対処するにしてもそう気軽に来れる状況ではないから,メール設定に当たってはそれなりに気を遣わざるをえない。そこでやはり,「プレーンテキスト」向けメールソフトである Sylpheed を使ってもらうことにしていた。HTML で「こっそりリンクを埋め込んだ表示」をしないそのソフトなら,詐欺メールによるリスクをある程度下げる効果が期待できるというわけだ。
 残念ながら,今はコロナウイルスの影響でそういった施設に行けなくなってしまっているが,そうした設定をしたその方たちには,今回のようなトラブルはそう簡単には起きないだろう。むしろ訪問指導ができずにほぼ無収入になっている筆者のほうがヤバいくらい。

◆ メールアドレスを別にする対策

 本文の日本語におかしい点が多々あることを見れば,ほぼ「詐欺」は確定なのだが,ニセの手続きサイトの「造り」がかなり紛らわしかったから,該当カード会社を実際に利用していたら,うっかりそこで手続きして詐欺被害に遭ってしまう人もいるかもしれない。
 が! じつは筆者は本文云々以前に,受け取って直ぐに「これは詐欺だ」と分かった。というのは,そのメールが届いたアドレスが,銀行にもカード会社にも登録していないものだったからだ。
 「当サイトで筆者のメールアドレスは分かりにくい」とは言ったものの,じつは探せば分かる場所に掲示はしていて,障害者の技術的な相談先として関連サイトへの登録もある。つまり,このサイトで使っているメールアドレスは公開しているものだから,当然,このようなメールを送りつける「詐欺集団」の目に入る可能性も十分あり得る。もし銀行やカード会社への登録に同じアドレスを使ってしまうと,本当にそれらの会社から送られてきたメールと,サイトなどでアドレスを見て送られて来る詐欺メールが同じアドレスに届くわけで,区別がむずかしくなるのは目に見えていた。そんなこともあり,銀行とカード会社へは別のアドレスを登録していたのだ。今回届いたメールは,そのどちらのアドレスでもなかった。登録もしていないアドレスに,銀行云々,カード云々といったメールが届いたのだから,その時点で「詐欺確定!」と言えるというわけだ。
 詐欺メール対策の第2段は,この「メールアドレスの使い分け」だ。

 逆に言えば,メールアドレスを使い分けせずに金融機関やカード会社に登録してしまうと,詐欺に遭う可能性を高めてしまうかもしれないということだ。とはいえ,筆者はウェブなどでアドレスを公開しているため,それと同じアドレスを登録することは避けたわけだが,ではそうしたウェブページやブログなどを持たず,メールも公開していない人ならその心配はない……と言えるだろうか。
 たとえば,コンピュータやスマホ,携帯電話に感染するウイルスの中には,アドレス帳から勝手に連絡先を抜き取って,外部に送信してしまうようなものが存在する。もし,普段メールをしている人たちの中の誰かのスマホかパソコンがそうしたウイルスに感染してしまうと,その人とやりとりしている人たちのアドレスが詐欺集団に流れてしまう可能性は否定できない。流出した中に自分のアドレスが含まれていれば,それを元に詐欺メールが送られて来る可能性も十分に考えられる。だから,もし同じアドレスを金融機関やカード会社に登録してしまっていたら,それら企業から届く正規メールと詐欺メールが同じアドレスに届くことになる。詐欺に遭う可能性を高めてしまうのは言うまでもないだろう。

 こんなことを言うと,友人を相手に疑心暗鬼になってしまうかもしれないが,別に相手が一般人でなくても,企業やお役所で情報漏えいした話はよくある。ホントは「よく」あっちゃイケナイのだが,残念ながらイマドキの企業やオヤクショの危機管理意識は,その程度なのである。だから,この記事で述べているような「自衛」こそ重要だと言いたい。
 とはいえ,たいていその「漏えい」した側の記者会見などを見ると,「悪用された形跡はない」と伝えられることが多い。ならば安心? いや,個人情報が抜かれたと判明して直ぐには,抜かれた企業側もネット監視を強化するなど警戒しているだろうから,そこで迷惑メールや詐欺メールをばらまくのに利用したりすれば,抜いた側が特定される可能性も高まる。犯人側もそれを見越して,直ぐ悪用したりはしないだろう。あるいは,そうした情報は,他で抜かれたものと混ぜられるなどして,情報源を分かりにくくする……いわば「ロンダリング」されてから悪用される可能性もある。たとえば,他で抜かれたデータに同じメールアドレスがあり,片や住所が,片や家族構成などが書かれていたら……まとめることにより,データ価値が数段上がる。「高く売れる」だろうね。「悪用された形跡はない」の会見は,悪用される前に言っているだけ,あるいは,それが裏取引されている実態が見えていないだけの可能性が否定できないわけだ。
 つまり,詐欺メールの問題というのは,自分が気をつけていれば済むものでもないということ。送りつけられて来る時は来るのである。
 その点でも「アドレス使い分け」は有効な自衛手段と言えると思う。筆者が金融機関やカード会社に通常と異なるアドレスを登録した理由も理解してもらえるだろう。

 しかし,当然のことながら,「使い分け」による詐欺メール対策をするには,複数のメールアドレスを使えるようにする必要がある。一般的なプロバイダ(=ネット接続業者)では,複数のアドレスを持てるかどうかは微妙。ただ業者や契約によっては,「いくつまで」と数に制限があるものの,複数のメールアドレスを持つことが許されている場合もある。または,追加料金はかかるものの,安ければ,詐欺被害の防止対策費用としては許容範囲かもしれないので,契約中の接続業者があれば,まずそちらを調べてみてもいいかもしれない。

 では,追加のメールアドレスが使えない業者はどうすればいいのか。たとえば,携帯電話会社はというと,1つの携帯電話の契約に対して,1つのメールアドレスしか割り当ててもらえないのが普通だ。そればかりか,最近話題の格安契約では,携帯電話会社ドメインのメール……いわゆる「キャリアメール」さえ使えなかったりする。
 一方,メールだけ使わせてくれる業者も存在する。無料で有名なのは「Yahoo! メール」と,Google が提供する「Gmail」だ。前者は,広告の受け取りが必須ではあるが,それを問題視しなければ使えるだろう。
 ただ,後者は……じつは Gmail は,筆者が送るメールをよく「迷惑メールフォルダ」にブチ込んでくれる。Gmail の受信者の話では,何度取り出してもブチ込まれたらしい。前述の「偽装サイト報告」でも述べたように,Google のやることはいろいろと問題が多い気がする。数年前にも,Gmail で送信された HTML 形式のメールで,本文とリンク内容が異なっているものがあった。そのメールを送信した側は意図していなかったらしいから,Gmail の不具合だろう。しかも,その受信者が障害のある方だったため,操作を間違ってうっかりそのリンクをクリックしていたら,全く無関係の人に意味のないメールを送っていたかもしれなかった。HTML 形式メールの危険性は既に述べたが,さらに状況を悪化させかねないのが,その時の Gmail だった。ミス防止の観点からも,Gmail の利用は(この文章の記述時点では)全くお勧めできない。

 これ以外の方法としては,少しハードルが高くなるが,メールサーバを借りる手もある。「メールサーバ(あるいは『メールボックス』),レンタル」といった文言で検索すると,サービスを提供している業者がいくつか出てくる。業者によっては,月額換算百円以下の契約もある。
 サーバを借りる利点は,たいていはメールアドレスがいくつか自由に作れるという点。契約を1件すれば,あちらこちらのカード会社や金融機関,決済業者に別々のアドレスを使い分けた登録も可能になる。
 「ハードル」というのは,このアドレス(アカウント)の作成などの設定を,原則自分でしなければいけない点。

 「そんなにいくつもアドレス作っても,管理しきれない」と心配になるかもしれないが,たいていのサーバには「自動転送」の機能がある。各業者ごとにアドレスを変えて登録しても,それらに対して普段使っているアドレスに転送する設定をしておけば,そのアドレス1つで全ての業者から発信されたメールを受信して見れるようになる。利用できるのが携帯電話用メール1つだけでも,この方法を使えば,まずは利用するカード会社や金融機関ごとに個別のアドレスを決め,携帯電話のメール宛に転送する設定をしておいて,各会社に登録すればいいわけだ。
 この方法で気をつけるべきは,転送されたメールの宛先アドレスと,実際に受信する「転送先アドレス」が異なるという点。転送先のアドレス宛に「詐欺メール」が届いてしまったら,やはり区別をつけにくい。「メールの宛先」を必ず確認するようにしたり,メールソフトで,転送されたメールを振り分けて区別する設定が重要になって来るだろう。
 で,うっかりそれにいつも通りに「返信」してしまうと,元のメールの宛先と,返信メールの発信元アドレスが異なってしまうので,注意が必要になる。相手がメールを送信した先は,転送される前のアドレスであり,一方,メールソフトから送信されるメールは,返信だろうと転送だろうと,通常はソフトに設定されたアドレスが送信元になるためだ。すると,それを受信した側は,「メールを送信していないアドレスから返信が来たが,誰だ?」状態になる。あるいは,元のメールの送信先,つまり転送前の宛先以外からの返信に対して正しい扱いができず,その返信は無視されてしまう可能性もある。また返信した側も,普段使っている「知らせたくなかった」側のアドレスを,「発信元」として相手に伝えてしまうことになるので,注意が必要というわけだ。
 そして,やはりその「転送」設定も,自分でする必要がある。まぁ,メールサーバ業者もある程度「サポート」してくれるとは思うが,たいていのことは利用者側でできることが前提ではある。

 登録するアドレスを別けることには,もう一つメリットがある。それは,もしアドレスを登録した会社からアドレスが流出した場合,どこの会社から流出したのかが分かるという点。たとえば,あるカード会社に登録しただけで,他で使っていないアドレスに「迷惑メール」が届いたら,その会社から漏れた可能性が高いと分かる。ただし,自分のスマホやパソコンのソフトにそのアドレスの設定をしていた場合は,その機械がウイルスに感染したり,悪意のあるソフトだったりすると,そこから漏れる可能性も否定できないので注意。筆者の場合,そうした用途のあるアドレスはメールソフトでは使わずに,「ウェブメール」でのみ使うなどしている。メールサーバのレンタル会社は,たいていこの「ウェブメール」サービスも提供しているが,契約時は確認するといいと思う。

 ちなみに筆者の場合は,「ウェブサーバ」を借りている。一般的にはウェブサービスや記事の公開用だが,メールサーバの機能もある。筆者サイトとメールアドレスのドメイン部分が同じなのはそのため。やはりある程度自由にメールアドレスを作ることができるから,カード業者や金融機関などに個別にアドレスを作って登録していた。「カード会社」を装うメールは,そのどこにも登録していないアドレスに届いたから,直ぐに「詐欺だ!」と気付いたわけである。

 述べたように,最近話題になっている携帯電話会社の格安契約では,携帯電話会社のキャリアメールが提供されない。そんな時,述べたような「メールの契約だけできる業者」があることを知っていると,使えることもあるのではないかと思う。

● 企業はバリアフリーと防犯を総合的に考えていない

 今はコロナウイルスの影響で行けなくなってしまっているが,筆者はちょっと前まで,障害者にパソコン指導に行っていた。それらの方々は普段,自宅を離れて入所施設で暮らしていて,そこでパソコンを使うため,詐欺メールが元で犯罪に巻き込まれたり,操作を間違って知らない人宛てや意味不明なメールを送ってしまったりした時,ご家族がサッと来て対応できるような状況にない。なので,少しでも「間違い」が減るよう,それらの方々には,リンクの URL を隠せる HTML の表示より,URL を全て明示する「テキスト形式」表示を優先するメールソフトである Sylpheed(シルフィード)を設定し,使ってもらっているわけだ。

 ついでに,ある方のメールには「みとろん設定」という設定をしている。これは,送信されるメールを,必ず自分自身にも同報することと,受信したメールも数日間サーバから削除しないようメールソフトに設定するもの。そうすると,ウェブメールなどを使って,「その方が送信/受信したメールの両方の確認」が外部でできるようになる。詐欺メールに返信してしまって犯罪に巻き込まれていないかとか,失礼なメールを出してしまったりしていないかなど,ご家族が離れた自宅から確認できるようになる。もう少し詳しい内容は,以下を参照。

▼ あまりに知られていないメールの使いこなし方 # みとろん設定
http://treeware.jp-help.net/?dstk3#sect4.4

 メールと言えば,一般的なのは Outlook や Google の Gmail になるかもしれないが,このうち Outlook は,上記記事にも記載したが,この「みとろん設定」をするのは難易度が高く,一般の方ではほぼ無理。また,Google についても,述べたように,Gmail で作成したメールの表示と実際のリンク先が異なってしまうとか,偽装サイトの報告を受け付けるブラウザを限定してしまうとか,何より筆者が出すメールを毎度毎度「迷惑メール」扱いにするとか,いろいろ問題を感じる。しかも,どちらも HTML 表示を優先するから,詐欺サイトへの「落とし穴」的なリンクにも気付きにくく,お勧めできない。
 特に,障害があり誤操作や思い違いなどの多い方がそうしたメールを使えば,「詐欺メールと気付かず HTML に仕込まれたリンクをクリックしてしまう」とか,「間違った宛先にメールを送ってしまう」といった危険性が数段高いことは,言うまでもないと思う。そうしたことが起きた時に,健常者なら自分で何とか対処できたとしても,障害を持つ本人による対処は困難なことも多いはず。Outlook や Gmail には,バリアフリーと防犯の両面で重大な問題を感じる。「みんな使っているから」程度の理由でそれらを使わせることのリスクをよく考えるべきだろう。
 筆者が相談を受けた方には,述べて来たような点を考慮した設定をしに行くところだが,他のみなさんは十分に気をつけて欲しい。「みんなが使っているから」ではなく,間違いが起きにくいメールソフトとその使い方を考えた選択をして欲しいと思う。



© M.Ishikawa; TREEWARE 2021.