なりすましメールは今年に入っても全く減る気配がありません。
メールの文面は巧妙になり、なりすましメールと判断するのが難しいものも増えています。
しかし、このなりすましメールへの対策(なりすましメールを見分ける仕組みの構築)は、オールジャパンで取り組めば、意外と簡単な気もするのです。
そこで、今日は、そのアイデアについて少し書いてみたいと思います。
その前に、なりすましメールについて、簡単に復習を。
なりすましメールによる攻撃では、攻撃者は、攻撃対象者に対し、第三者(主に金融機関や公共性の高いサービス)のフリをしてメールを送りつけます。
そして、メールを受け取った人が、「なりすましメールである」と気づけず、メール内で指定された指示に従ってしまうと(多くは、ウェブサイトへのログインや個人情報の送信を求められる)、情報が攻撃者にわたってしまう事になります。
良くあるケースでは、
・ネットサービスのアクセスに必要な情報
・金融機関へのアクセスに必要な情報
・本人になりすます為に必要な個人情報
などの情報が狙われます。
結果、金融機関からお金が奪われたり、勝手にネットサービスを利用されて損害が出たりします。
個人情報が奪われる事により、SIMスワップ攻撃に繋がる事もあります。
では、なぜ、なりすましメールに騙されてしまう人は多いのか。
それは、攻撃対象者に届くメールの内容が、本物そっくりだからです。
一昔前のなりすましメールは、日本語におかしい所があったり、本物であれば送ってこないであろう内容が含まれたりもしていました。
しかし、最近のなりすましメールの内容は、本物のメールそっくりです。
そして、急いで対応しないといけないような文面である事も多く、メールを受け取った人は焦ってしまい、メールの指示に従ってしまう事も多いのです。
ちなみに、時には、本物のメールをそのまま使っている場合すらあります(リンク先だけは偽物になっている)。
この場合、メールの内容が本物そっくりなのは当たり前ですし、メールの文面だけで偽物と判断出来ないのも当たり前です。
AIの進化がメール文面の巧妙化に繋がっているという指摘もあります。
ですから、もはや、「メールの文面をしっかりとみて、本物かどうかを見極めれば良い」という対策は通用しないののです。
特に、スマホでは、なりすましメールを見分ける為に使える情報(メールに含まれるリンク先など)をチェックする事が困難なケースもあり、そのような場合、本物に似せて作られたメールを見分けるのはほぼ不可能です。
では、どのようにして、なりすましメールを見分ければ良いのか。
実は、既に様々な仕組みは存在します(証明書の添付など)。
ただ、利用のハードルなどを踏まえると、未だ決定打となるものは出てきていないように思います。
しかし、改めて考えてみると、なりすましメールを見分ける仕組みを構築するのは、それほど難しい事ではないようにも思うのです。
結局、なりすましメールは、「本物の相手が送っていないメールを、本物の相手が送ってきた」と間違って理解してしまう事によって被害が発生します。
であれば、難しい事は抜きにして、それだけをチェック出来るようにすれば良いはずなのです。
具体的には、どうするか。
メールを送る側が、公的なデータベース(仕組み)に、「私は、○○という人に、今日、○○という内容のメールを送りました」と登録しておき、それをメール受信者がチェックできる仕組みを構築すれば良いだけだと思うのです。
そして、なりすましメールが届いた人は、届いたメールの情報を使って、「○○という相手は、本当に私にメールを送っていますか?」と、その公的なデータベースに問い合わせをするだけで良いはずなのです。
なりすましメールの場合には、当然、そのような記録はありませんから、そのようなチェックによって、「自分の所に届いたメールはなりすましメールである」とハッキリさせる事が可能となります。
問い合わせには、Message-ID(メールに紐付けられたID)のような情報を使う事も考えられますが、利用のハードルを下げる事を考えると、受信者のメールアドレスと送信者の基本情報だけでも問い合わせが出来るような仕組みにしておくのが好ましいと考えられます。
完全ではありませんが、このような仕組みだけでも、かなりの割合のなりすましメールを見破る事は出来るようになるはずです。
以上、なりすましメールが問題となってから、かなりの年月が経つにも関わらず、未だ、「こうすれば、届いたメールがなりすましメールかどうかを見分ける事ができますよ」と教える事の出来る方法が生まれてこない現状に痺れを切らし、一つ、アイデアを書いてみました。
なりすましメールの被害を無くす事は、かなり重要なトピックスの一つのはずです。
関係者の方、ご検討頂ければ幸いです。
