最初に
携帯電話をスマートフォンに変えて半年が過ぎました。
メーラー(メールアプリ)を未だに決めかねています。
というのも、スマホ用のメーラーはセキュリティー面からみると「良いものがありません。」
色々試しているのですが、「これ!!」というものに出会えていません。
少し前まで「Spark」と言うメーラーを試していたのですが、まさかの問題点がみつかり止めることにしました。
それはさておき、「Spark」の記事を書く中で「フィッシング詐欺メール」について触れました。
すると思った以上に反応がありましたので、どうせなら「Spamメール」や「詐欺メール」など、知っている範囲で記事を書けば詐欺被害の撲滅に役立てるのかな?と思い記事を書いていこうと考えました。
なので、PCやスマホなどの知識がない方でもわかるような内容にしたいと考えています。
ただ、わからない人が「何がわからないのかわからない」ので、うまく書ける自信は無いのですが・・・(汗
今回は、「テキストメール」と「HTMLメール」について触れていきます。
メールの形式について
メールの形式
メールの形式には3つのタイプがあります。
- テキスト形式
- HTML形式
- リッチテキスト形式
ただし、3の「リッチテキスト形式」はマイクロソフトが開発した「リッチテキスト」(拡張子「.rtf」)をメールに採用したもので簡易なワープロなどに採用されているフォーマット形式です。
最近のワープロは高機能になり、色々なことが出来るようになりましたが、少し前のワープロ専用機などをご存知の方は、文字の色や太さを変える程度の機能しかなかったのをご存知かもしれません。そのような文章に適しているのが、このリッチテキストです。
マイクロソフトとしては、このリッチテキストを広めたかったようで、同じくマイクロソフトが開発した「Outlook」と言うメールソフトに採用しましたが、広がることはなく、「Outlook」同士でなければ正しく表示出来ない(ほぼほぼ使い物にならない)フォーマットとなってしまっています。
また、「リッチテキスト形式」を社内のイントラなどで使い、社外にメールを送ると自動的にHTMLに変換する機能があります。そのせいか、リッチテキストをHTMLだと勘違いされている方がおられるようですが、リッチテキストとHTMLは別物です。
ですので、実質1の「テキスト形式」(拡張子.txt)と、2の「HTML形式」(拡張子.htmまたは.html)について解説します。
ちなみに、リッチテキスト形式は
こんにちは
今日の天気は晴れです。{\rtf
\'82\'b1\'82\'f1\'82\'c9\'82\'bf\'82\'cd\par
\'8d\'a1\'93\'fa\'82\'cc\'93\'56\'8b\'43\'82\'cd\'90\'b0\'82\'ea\'82\'c5\'82\'b7\'81\'42\par
}
このような形式のファイルです。
テキスト形式
文章のみの形式です。
文字の色や太さなどの装飾を変更することも、線・円・画像などの図形を表示することも出来ません。
文字だけのメールを見たことがあると思いますが、恐らくそれが「テキスト形式」のメールです。
銀行などから届くメールは、この形式を採用しているところが多いと思います。
HTML形式
「HyperText Markup Language」(ハイパー テキスト マークアップ ランゲージ)の頭文字を取った名称です。
マークアップ言語と言われるものです。
ブラウザなどで、インターネットの色々なサイトを閲覧された事があると思いますが、あのサイトを構成しているのが「HTML」です。
インターネットのサイトは「画像あり」「文字の装飾あり」とカラフルだと思いますが、その形式をメールに採用したのが「HTML形式」のメールです。
HTML形式は、記述されているHTMLタグを解析して表示します。
■テキスト形式の場合
こんにちは
今日の天気は晴れです。上のようなメールをそのまま表示します。
こんにちは 今日の天気は晴れです。
■HTML形式の場合
<pre>こんにちは</pre>
<pre>今日の天気は<em style="color:red;">晴れ</em>です。</pre>上のようなメールのHTMLタグを解析して・・・
こんにちは
今日の天気は晴れです。
このように、タグで囲うことでその中の表記方法を指定します。
上の例では、
<pre>整形済みテキスト</pre>
<em>強調</em>
という意味で、さらに<em style=”color:red;”>とすることで文字の色を赤にしています。
「マークアップ言語」と解説しましたが、「プログラム言語」などと同様にタグに色々な意味をもたせたフォーマットを作成し、それを解析することで複雑な表示を可能にしているわけです。
部分HTML
これは、正式なものではありません。
完全なHTML形式では、
<html>
<head>
ヘッダー
</head>
<body>
ボディ
</body>
</html>上のように、全体が<html>~</html>で括られ、
同様にヘッダー、ボディ部分が存在します。
これらを無視し、ほとんどの部分をテキストとして入力し、装飾したい部分のみHTMLタグを使用するメールが出回っています。
お使いのアカウントが乗っ取られました。
大至急、パスワードの変更を行ってください。
<a href="偽のURL">ログイン</a>上の例は、「ログイン」の部分にのみHTMLタグを使用しているパターン(のつもり)です。
一見すると「テキスト形式」と間違ってしまいそうですが、それを悪用しているパターンです。
一部にでもHTMLタグを記述していれば分類としては「HTML形式」となりますが、正式なものではありません。
テキスト形式、HTML形式、同報メール
こちらも正式な名称を知りません。
もともとメールはテキスト形式だったのですが、あとからHTML形式も送受信可能になりました。
しかし、古いタイプの携帯電話などにテキスト形式しか表示出来ないものがあります。そのため、メールの中に「テキスト形式」と「HTML形式」の両方を持っているものがあります。
そして、古い(HTMLに対応していない)場合は「テキスト形式」を表示し、新しい場合は「HTML形式」を表示させることで、どちらの場合でも問題なくメールが表示出来るというものです。
実は、一番最初にスマホのメールアプリに満足できるものがないと言ったのは、この形式のメールでテキスト形式を表示出来るメールが無いことです。
このようなメールの場合、デフォルトで「テキスト形式」を表示させ、見たいときだけ表示を切り替え「HTML形式」を表示させると言ったものが欲しいのです。
HTML形式が標準となってしまっており、切り替えどころか、そもそも「テキスト形式」の表示が出来ないものばかりなのです。
※一部、画像のみ非表示に出来るようなものがありましたが、欲しいのはそれではありません。
フィッシングメールの手口
急がせる
「重要」「緊急」「大至急」「24時間以内」「アカウントを凍結」・・・
上げると沢山ありますが、メールを受信した人に「あれ?これはおかしい?」と言う判断をさせない、つまり「焦らせる」内容になっているものが多いです。
また、「Google」や「Yahoo!」などの検索サイトが不正と判定するとアクセス出来なくします。なので、アクセス出来る間に沢山の人を騙そうとするために急ぐ必要もあります。
こういうメールこそ、落ち着いて対処しましょう。
偽装
偽物のメールは、より本物に近いものに「偽装」しています。
以前は、日本語の文章が変だったり、メールの「送信者」が全然関係のないメールアドレスだったりと、少し落ち着いて見さえすれば「おかしい!!」と気づくようなメールでした。
しかし、どんどん進化して、最近の迷惑メールは本物と偽物の判定が難しくなってきています。
今後も進化を続けるでしょうから「自分は騙されない」と慢心しないことだと思います。
今回、「メールの形式」と「フィッシング詐欺メール」の解説を同時に行ったのは、この「偽装」に関わる部分を解説したかったためです。
「フィッシングメール」の被害に合わないためには、この「偽装」を見破る目があれば「被害は防げる」と思っています。
もちろん、「絶対に大丈夫と慢心してはいけませんが・・・」
「フィッシングメール」と「メール形式」
偽装を見破るには。
そもそも、フィッシングメールがどんな手口なのか、少し解説します。
インターネット上では、各社が準備しているサイト(サーバー)を閲覧するには、URLを入力します。いわゆる住所のようなものです。
アマゾン https://www.amazon.co.jp/
楽天 https://www.rakuten.co.jp/
アップル https://www.apple.com/jp/「http(s)://******/」がURLなのですが、上の例に上げたURLをそのまま打ち込めば当然正式なサイトが表示されます。
なので、本物に似せたURLを作成します。
アマゾン http://honmonodayo-account-amazon.xxx/
楽天 http://honmono-agr03-rakuten.xxx/
アップル http://honmonono-appleid-apple.xxx/jp/上は適当に作ったものですが、このような本物に似せたURLと、そのURLを入力した際に接続されるサイト(サーバー)を準備します。
そのサーバーには本物そっくりの「ログイン画面」を作成しておいて、騙されてアクセスした人が「ログイン情報(IDやパスワード)」を入力すると、それを盗み、悪用すると言うものです。
※これは、あくまでも現行での常套手段なので、今後もっと悪質なものが出てくる可能性があることを踏まえ、参考程度にしておいてください。
アカウント情報が盗まれてしまうと、
例えば銀行なら
「銀行のサイトにログインし、自分の口座にお金を送金する」
ショッピングサイトなら
「サイトにログインし、高額な商品を買い漁る」
など、金品の被害が考えられます。
また、SNSなどの場合、
最近問題になっている「誹謗中傷」をあなたのアカウントを使って行われてしまう。
これに気づかないと、知らない間に「犯罪者の一員」にされてしまう可能性もあります。
以前、SNSで知り合った方が、スマホやPCの知識が無い方でしたが、SNSをやっていることから「アカウントの乗っ取り」についてはご存知でした。
アカウント情報を盗まれるのは、つまり「アカウントが乗っ取られる事」と言えばおわかりの方も多いのかもしれません。
このような手口なのですが、既にお気づきの方もおられるかもしれませんが、URLが住所に当たるものなので、確実にこれをチェック出来れば偽物は見破れるということです。
極端な例ですが、
「東京都新宿区新宿」のはずの住所が、
「北海道新宿区新宿」だと、多くの方が「あれ?」とお気づきになるのではないでしょうか?
URLが英数字なので、「英語みたいで苦手」
そもそも「見慣れていないので、わからない」
日本語で見慣れている日本の住所なら気づく事が出来るけど、
英語みたいで見慣れないURLは、わからない、気づけない。
だったら、慣れましょう。苦手意識を捨てましょう。
偽装しにくいテキスト、偽装しやすいHTML
テキスト形式は、入力した内容がそのまま表示されるので「隠す」「偽る」事が出来ません。
なので、URLが本物と異なることに気づけば詐欺に合うことはほぼありません。
注意すべきは、「慌ててタップする事」ですね。
問題は、HTML形式です。
<a href="偽物のURL">ログイン</a>上のHTMLタグは、リンクタグです。
タップするとブラウザが起動して指定のサイトが表示されるあれです。
便利ですよね。
ただ、上をよく見てください。これを表示するとこうなります。
※ワードプレスの都合で、画像にしています。
「偽物のURL」がわかりますか?
あるいは、こんなパターンです。
<a href="偽物のURL">https://www.amazon.co.jp/</a>表示するとこうなります。
※ワードプレスの都合で、画像にしています。
先程、フィッシングメールを見破るには確実にURLをチェックすることと言いましたが、上を見て「大丈夫」と思ってしまいませんか?
「偽物のURL」がわかりますか?
このように、HTML形式は「偽装」と言うより「隠す」事が出来るのが大問題です。
HTMLメールと企業の対応
企業では、メールの送受信に関する「ビジネスルール」なるものを定めているところが多くあります。
その中に、「HTML形式使用不可」というものがあります。
社員が社員同士や取引先の企業とのやりとりでメールを使用する際、「HTML形式」を使ってはならず、「テキスト形式」にしなさい。
と、言うものです。
これは、そもそもは回線が普及していなかったことから、サイズの大きくなる「HTML形式」を送るのは失礼に当たる。
とか、
「HTML形式」のメールにウィルスが仕込まれており、メールを開くとウィルスに感染する。
という事が起こっていました。
あれから随分と経っているので、少なくとも上記のようなことは起こりにくくなっていると思いますが、未だに「HTML形式」を敬遠する企業は少なくありません。
しかし、こと顧客に対してはガンガンに「HTMLメール」を送りつけてきます。
特にネットショッピング関係のような商品を紹介するサイトではかなりの確率でHTMLメールです。
商品を紹介するのにテキストだけで紹介するのと、画像を付けて紹介するのでは、そのインパクトは全然違いますし、恐らく商品の売れ行きにも影響するのだと思います。
ただ、その結果としてHTMLメールが蔓延し、フィッシングメールも蔓延するという悪循環がうまれたと考えています。
ただ、理屈はわかっていても「自分たちは安全なテキストメールを使い、顧客には危険なHTMLメールを使う」というのは納得いきません。
HTMLメールを多用している企業にも責任の一端があるのでは無いかと理不尽な思いですが、被害に合うのは我々なので自己防衛で対策していくしかありません。
対策.1
テレビのニュースなどで「フィッシング詐欺」について取り上げた場合、対策として言われるのが、
「メールのリンクをクリックしない」
です。
当たり前のことですがクリックするから詐欺の被害に合うのでクリックしなければ詐欺の被害に合うことはあり得ません。
対策.2
いろいろな意味で、現在は「HTML形式」のメールが多用されるようになりました。
確かにクリックしなければ詐欺の被害に合うことは無いのですが、リンクは便利な機能なので止めるのではなく上手に付き合うのが良いのではないでしょうか?
URLの偽装は無いか?
遷移先のURLは正しいか?
特にスマホの場合、確認にコツが必要だったり、そもそも使っているアプリでは確認することが出来なかったりします。
リンクをタップするのではなく、「長押し」すると上図のようなモーダルが表示されるメールアプリがあります。
ここで、URLが正しいサイトに遷移するものなのかをチェックして、正しければ「ブラウザで開く」、正しくなければ中断する。
と言った2段階でサイトに遷移する方法が現実的なのでは無いかと思います。
しかし、
お使いのメールアプリでは上図のようなモーダルが表示されない。
とか、
表示されても、URLの見方がわからない。
では意味がありません。
URLの見方をしっかりと勉強してください。
IT化が益々進む中で、URLの見方くらい知っていて当たり前にに成るかもしれませんし、そうなれば、「フィッシング詐欺」のような詐欺被害に合われる方が減るのではないかと考えています。
最後に。
今回の記事の目的は「フィッシングメール」の偽装を見破り、詐欺被害に合わないようにする事でした。
そのために、メールの形式と偽装や隠蔽のしやすさ・しにくさを含めて解説しました。
将来的には、メールアプリにAIが搭載され、偽装したURLをメールアプリが判別するような時代になり、わざわざ人間が判断する必要がなくなるのでは無いかと思っていますが、残念ながら「現在」はそこまで技術は進んでいません。
人間が判断しなければいけない以上、やはりメールなりの「知識」はある程度必要だと思っています。
知らない人に取っては難しいことだとは理解しています。
とは言え、
「現在」、電車の中などで右を見ても、左を見ても、みなさんスマホをパチパチ操作されています。
正直こんな時代がこんなに早く来るとは予想していませんでした。
しかも、少し前まで「マウスの右クリック? 左クリック? ダブルクリック?」と言われてた方が、自慢そうにスマホの画面を見せてくるのです。
「フィッシングメール」の偽装や隠蔽を見破るのは、若干ハードルが高い気もするのですが、こうしてスマホを使える時代になったように、URLをパッと見るだけで「あっ!!これ偽物」と言う時代が来てもおかしくない気がします。
出来るだけわかりやすくを心がけたつもりですが、専門用語の中にドップリ浸かった生活をしているので、正直どこまで噛み砕けばよいのかわかりません。
やはり難しい表現になっているんだろうなとも反省しています。
いずれにせよ、詐欺の被害に合っては元も子もありませんので
しっかりと、理解して運用する。
中途半端な理解ならやらない。
という気持ちで、絶対に被害にあわれませんように・・・。
前回作成した記事です。URLの見方について詳しく記述しています。
こちらの記事にも「フィッシングメール」の別のタイプの実例で紹介しています。
