第6回 メールの中身にツッコミを入れてみる

迷惑メールは「Unsolicited Commercial Email（頼まれもしない、広告メール）」という表現があるように、内容はともかく広告に使われたものでしたが、現在では「罠」に誘い込むための「撒き餌」の性格をも持っています。ウイルス添付、フィッシング、アクセスするだけでウイルスに感染する偽装サイトやワンクリック詐欺サイトへの誘導など、PC を攻撃するためのツールが満載です。最近では、Adobe Readerなどの脆弱性を狙ったコードを組み込んだPDFファイルをメール添付し、ボットウイルスに感染させるという手法も流行しました。「風邪は万病の元」と言いますが、迷惑メールはPCにとっても万病（トラブル）の元なのです。

• やはり出てきた、例のアドビの脆弱性を突く「PDFウイルス」 (ITproニュース記事より)

悪意を持った人がメールを使った攻撃を行う場合、そのメール文中にあるURL(アドレス)をクリックしてもらうためのさまざまな「罠」が仕掛けられていますから注意が必要です。古くは「儲かる」とか「寄付をお願いします。」といったものでしたが、最近ではターゲット攻撃とよばれる、特定の属性を持った人をねらい撃ちするタイプが増加しています。ここでの属性とは、職業や趣味などを指し、所属会社なども標的になります。

さらに、この属性を絞ったターゲット攻撃には、ユーザを「焦らせる」ことによってより適切な判断を狂わせようとする罠も潜んでいます。

例えば…

といった攻撃シナリオも起こりえます。 事実、前述の弊社お客様向けフィッシングでも、「24時間以内にパスワードを入力してください。」といったユーザを焦らせる台詞が入っていましたし、携帯電話向けでも同様の事例が報告されています。

• フィッシングを警戒しよう――キャリアを装う不審なメール出回る (ケータイWatchニュース記事より)
• 『フィッシングサイトにご注意ください』 弊社会員サポートページより

図）弊社を狙ったフィッシングの例

このように悪意を持った人は、興味を持たせて焦らせることによって、攻撃用のメールを読ませようとします

この攻撃から身を守るためには

• 迷惑メールフィルタの導入(迷惑メール対策@nifty)
• メール中のURL(アドレス)を容易にアクセスしない
• Web Proxy型アンチウイルスソフトの導入(常時安全セキュリティ24)
• IE7などのようにアンチフィッシングフィルタ機能のあるものを使用する
• アンチ有害URL(アドレス)フィルタを導入する

などは必須ですが、

が重要です。

興味のあること、時間がないことで正常な判断が狂わないよう、メールに冷静なツッコミを入れる練習をしてみるのも悪くありませんね（笑）

• ・ Internet Explorer 7
  (フィッシング詐欺防止などが以前のバージョンと比べて向上したブラウザー)
• ・ McAfee SiteAdvisor
  (フィッシング防止機能を備えたWebブラウザ用プラグイン 無料版あり)