「悪い例として挙げられるのが,自宅から企業のメール・マガジンを送信するケース。担当者が,自分の契約しているISPのメール・サーバーを使って送信するのである」(近藤氏)。ある企業から送られてきたメール・マガジンのはずなのに,Receivedヘッダーを見ると,その企業とは無関係のISPのメール・サーバーが書かれている——。これでは,怪しまれても仕方がない。

送信ドメイン認証やデジタル署名を使う

 フィッシング・メールだと誤解されないためには,送信ドメイン認証(SPF/Sender ID/DKIM)やS/MIMEも有用である(関連記事)。送信ドメイン認証については,たとえ利用されていても,受信者が検証できる環境はほとんど整っていない。しかしながら,「受信者がチェックするしないに限らず,送信ドメイン認証を利用する(レコードをつける)ことが重要なのだ。レコードを付けて送信することで,その企業のセキュリティ意識の高さをユーザーに示せる」(センドメールの小島氏)。

 また,「SPFやS/MIMEを利用していれば,顧客から問い合わせが来た場合に『SPFレコードを確認してください』や『電子署名を確認してください』と言える」(IIJの近藤氏)。現状では,実効力よりも,“姿勢”を示すことに意味があるようだ。

 だが,「今後はメールのなりすまし対策の標準になるだろう」(セキュアブレインの星澤氏)という声に代表されるように,実効力も備わることが予想される。「送信ドメイン認証の認識は高まっている。国内でもほとんどのISPは重要性を認識し,実装を進めている,あるいは実装することを検討している。一般の企業においても,認識度は上がっている」(小島氏)

分かりやすいポリシーを提示する

 テックスタイルの岡田氏は,フィッシング・メールかどうかをユーザーが判断しやすいように,「企業としてのメール送信のポリシーを定め,Webサイトなどで明示する」ことを勧める。ここで,注意すべき点が3つ。まず,「ポリシーはできるだけ分かりやすくする」(岡田氏)。次に「例外規定を設けない」(同氏)。具体的には,「HTMLメールは送りません」というポリシーなら問題ないが,「原則的にHTMLメールは送りません。ただし,当社が必要と思った場合には送ります」といったポリシーでは「ないのと同じ」(岡田氏)。

 そしてもう一つが,「ポリシーに違反したメールをユーザーが受け取った場合の連絡窓口(メール・アドレスや電話番号)を用意し,ユーザーに知らせておくこと」(岡田氏)。この重要性を岡田氏は強調する。「偽メールや(正規のメールであっても)ポリシーに違反しているメールを見つけるのはユーザーがほとんど。現状を把握するには,連絡先を用意しておくことが重要」(岡田氏)。ただし同氏によると,そのような連絡先を用意している企業は少ないという。

メールを使わなくてもよいケースも多いのでは?

 ウイルスやフィッシングによって,メールのビジネス利用の常識が以前とは変わってきている。顧客向けサービスなどにメールを利用している企業は認識を改めるべきときが来ている。

 「今までは,(顧客向けなどの)メールは,見栄えや書かれている情報が,そのメールの良し悪しを判断する材料だった。だが現在では,『正当なメールであること(フィッシング・メールではないこと)が分かりやすいこと』が判断の材料の一つになっている。これを優先させることで見栄えなどがおろそかになっても,ユーザーはある程度納得するだろう」(セキュアブレインの星澤氏)

 「メールを使った一連のビジネス・フローを見直すべき。『自社が取得したドメインは適切か。使い方は正しいか。変なドメインは使っていないか』『メールに記載しているURLは適切か。誤解させるようなものではないか』『個人情報を入力させるページで入力を促している情報は適切か』——などを改めて確認すべきである」(IIJの近藤氏)

 「メールによるコミュニケーションを見直す時期が来ている」というテックスタイルの岡田氏は,「リスクを軽減するためのヒント」として,「『(顧客への連絡には)一切メールを使わない』という選択肢もありうる」とする。「会員ユーザーへの連絡には,Webサイトを使えばよい。Webサイトでのログイン認証が終了した後,知らせたい内容を個別に画面表示すればよいだろう」(岡田氏)。ポリシーの一つとして,「当社からはメールは一切送りません」という文章を掲げれば,ユーザーは判断が容易だ。その企業をかたるメールはすべて偽メールだと分かるからだ。

 「フィッシングに名前をかたられると信用が失われる。フィッシャに狙われないようなメールおよびWebサイトの運用を心がけることが重要」(岡田氏)。現在では,ユーザーばかりではなく企業にとってもメールは大きなリスクの一つになっている。本当に必要なメール・サービスならともかく,惰性で提供しているメール・サービスは,いますぐ止めたほうが賢明だ。

(勝村 幸博=IT Pro)