重要なのは,「リンクで嘘をつかないこと」(テックスタイルの岡田氏)。メール中に記述したURLと,そのリンクをクリックしたときの飛び先URLを同じものにする。「HTMLメールを利用している場合には,『ここをクリック!』といった文章にリンクを張るのではなく,飛び先のURLをきちんと見せるようにしたほうがよい」(セキュアブレインの星澤氏)。セキュリティ・ベンダーF-Secureのブログによると,「文面に書かれているURLとは異なるURLをリンクに張っているHTMLメール」をセキュリティ・ベンダーが出しているケースがあったという(関連記事)。悪い見本だ。

 IPアドレスを使ったリンクも避けるべきだ。これもまた,偽サイトへの誘導であることを分かりにくくする常とう手段だからだ。にもかかわらず,「正規のメールでも,リンクをIPアドレスにしているケースはめずらしくない」(星澤氏)という。「(そのようなメールを出している企業は)早急に見直すべきだ」(同氏)

 メールの文章にも気をつけたい。「自社のサイトへ飛ばすような文章を書いておきながら,実際の飛び先が別ドメインだとユーザーは混乱する」(インターネットイニシアティブ(IIJ)のプロダクト推進部プロダクトマネージャ 近藤学氏)。例えば,メール中に「当社のユーザー様は下記リンク先のサービスをご利用になれます」といった文章が書いてあるとする。多くのユーザーは,そのリンク先のサイトは,その企業が運営しているものだと思うだろう。ところが,リンク先のドメイン名がその企業のものと異なれば,ユーザーは不審に思うだろう。「ユーザーに『違う』と思わせることが問題だ。異なるドメインに飛ばす場合には,きちんと説明すべきである」(近藤氏)

 岡田氏は,「メールにリンクを含めない」といった対策もありうると提言する。「メールには『http://www.example.com/』といったURLは記述しない。特定のサイトへ誘導したい場合には言葉で書く」(岡田氏)。例えば,「当社のトップページにアクセスして,ページ右側のメニューから『セミナーの告知』をクリックしてください」と記述する方法などが考えられるだろう。

いいかげんなドメイン名を使わない

 メール中のリンクやアクセスしたWebサイトの正当性を判断する際に,多くのユーザーが頼りにするのはURL(ドメイン名)だろう。例えば,メール中に書かれているリンクが「http://xxxx.yyyy.co.jp/zzzz/」となっていれば,「リンクをクリックしてアクセスするのはyyyy社のサイトだから,アクセスしても大丈夫/アクセスするのはやめておこう」といった判断ができる。

 メール・ソフトのステータス・バーやブラウザのアドレス・バーを偽装される可能性はゼロではないものの,メールやサイトの正当性を確認する上で,ドメイン名が重要な役割を果たしていることは確かだろう。今回の取材では,「自分のドメインを大事にすることがフィッシング対策になる」(IIJの近藤氏)といった話が随所で聞かれた。

 しかしながら,「ドメイン・ブランドの重要性を認識する必要があるものの,その認識が欠如している企業は多い」(テックスタイルの岡田氏)という意見も随所で聞かれた。いいかげんなドメイン名を使っている企業が多いという。

 ドメイン名としては,(1)ひと目でその企業のものだと分かり,(2)その企業のサイトには,すべてそのドメイン名が付いている——ことが望ましい。これらが満たされていれば,ユーザーは「リンク先のサイトが本物かどうか」をメールに書かれたURLから判断できる。

 だが,「正規のドメイン名であっても,その企業のドメイン名とは判断できないケースが少なくない」(近藤氏)。例えば,ドメイン名にその企業の略称や愛称などを使っている場合には,それらがよほど認知されていなければ,その企業のドメイン名だとは分からないだろう。「分かりにくいドメイン名を使っている場合には,(分かりやすいドメイン名を)取り直すことを考慮してもよいだろう」(近藤氏)。それぐらいドメイン名は重要なのである。

 「複数の企業で共同ブランドを作る場合(Co-brand)や,複数の企業が合併した場合(Mix-brand)には,複数の企業名を混ぜた,ユーザーが判断に迷うようなドメイン名が使われる場合ある」(岡田氏)。キャンペーンなどを実施する際に,新たなドメイン名が一時的に使われる場合もある。「目的別に異なるドメイン名が使われている場合には,それらが本当に同じ企業のものなのかどうかを一般のユーザーが判断することは容易ではない」(セキュアブレインの星澤氏)

 紛らわしいドメイン名を使ったフィッシングは後を絶たない。例えば,「ebay-secure.com」や「yahoo-billing.com」といったドメイン名を取得して,米eBayや米Yahoo!のサイトに見せかける(実際には,いずれも無関係)。にもかかわらず,正規のサイトにも紛らわしいドメイン名が使われることが少なくない。“怪しい”ドメイン名が正規に使われることで,偽のドメイン名を疑わない“土壌”ができてしまう。

 「どのサービスにも,自社のドメイン名を使うようにする。サービスごとに名前を変えたり,キャンペーンを実施したりしたい場合には,別のドメインを取得するのではなく,サブ・ドメイン名で対応する」——。こうすれば,ユーザーが迷うことは少なくなるだろう。

異なるドメインからは送信しない

 メールの送信者名(Fromヘッダーの情報)は,メール本文の一部なので容易に偽装できる。一方,メール・サーバーが付ける「Receivedヘッダー」などは,Fromヘッダーと比較すれば信頼できる(もちろんReceivedヘッダーも偽装される可能性はある)。そこで,そのメールを自社が送ったことを,ユーザーがReceivedヘッダーなどから確認できるようにするために,「自社ドメインのメール・サーバーから出すようにすべき」(IIJの近藤氏)である。