わたしが国税庁を名乗る団体から受信したメール(下記)は、本文を読むと明らかに日本語に変な部分があります。
ですので、これはフィッシング詐欺のメールだとすぐにわかります。
フィッシングメールはなにかしら、違和感を感じる文章が多いので、メールを熟読すれば被害にあう確率は低いと思います。
しかし、完ぺきな文書でメールが来る可能性も否定できません。
そうすると、それをフィッシングメールだと見抜くのは難易度があがります。
ですので、フィッシングの被害にあわない為、下記の3つは呪文のように覚えておきましょう。
- メールの差出人を信じない
- メールの内容を信じない
- メールのリンクをクリックしない
ところで、メール本文の内容から、フィッシングか否かを判別する以外にも、フィッシングを判別する有効な確認方法があります。
以下はヤフーメールでの例です。「送信ドメイン認証」という技術を利用することで、なりすましの可能性を確認することができます。
下図のヤフーメールの From という差出人の横にある、赤枠でかこった詳細を表示するボタンをクリックすると ー
下のように「このメールの認証情報」というのが出てきます。
ここで、認証情報を確認すると、下記のメッセージがでました。
わたしが、受信したメールの送信ドメイン認証は、SPF認証ではエラーに、DKIM認証ではPASS となったと読み取れます。
これは、SPFの認証方式では、認証に失敗(=なりすましの可能性がある、怪しいメール)し、DKIMでは認証に成功(=なりすましの可能性が低い、怪しくないメール)したことを示します。
どちらか一方でも認証に失敗したなら、それは怪しいメールと見るべきでしょう。
それでは、SPFとDKIMの認証方式について軽く触れます。
SPF認証
SPF認証は、送信元メールサーバーのIPアドレスをもとに、問題あるメール(なりすまし)を判断します。送信元の管理者は、DNSサーバーにそのドメインでメールを送信する可能性がある、正当なメールサーバーのIPアドレスをSPFレコードとして登録します。
受信側は送信元ドメインとSPFレコードを照合し、一致したらOK、不一致ならNGと判断します。
DKIM認証
DKIM認証は、送信元メールアドレスの正当性を証明するために、電子署名を使います。送信者はメールに秘密鍵を用いて電子署名を付与します。受信側は送信側のDNSサーバーに登録された公開鍵を入手してメールの署名を検証します。この検証によって、なりすましやメールの改ざんの有無を確認します。
送信ドメイン認証方式はフィッシングメールか否かを判別する有益なツールなので、確認する習性をつけましょう。
しかし、どんなに対策を施しても、残念ながらフィッシングにひっかかって、リンク先をクリックしてしまい、重要な情報を入力してしまうかもしれません。
フィッシングに関する情報収集・提供、注意喚起等の活動を中心とした対策の促進する「フィッシング対策協議会」では、「利用者向けフィッシング詐欺対策ガイドライン」という文書を公開しています。
そこには「金銭的な被害など、実質的な被害が確認された場合には、被害者の居住する地区の都道府県警察サイバー犯罪相談窓口(フィッシング 110 番)へ連絡してください。」と書いているので、焦らずに連絡するのが賢明だと思います。
