旧聞に属する話ですが。
「Microsoftを騙るフィッシングメールが出回る」という話題が、マイクロソフトのサポートフォーラムに始まりInternet Watchにも載り、マイクロソフトのTwitterアカウントによる注意喚起がなされ、さらにはNHKのニュースになるところまで騒ぎが広がっています(NHKのWeb上のリンクは死んでますが、テレビでも放送されました)。
フィッシング対策協議会は普段からそこそこの頻度で緊急情報を告知したりもしてるのでいいんですが、NHKまで行くとちょっと大きな話になってきたなぁという印象。大きな話になるのは良いことだけど、「開かずに削除してください」とだけ告知されるのも片手落ちな感がたまらないところ。他の事例があまり話題にならずこれだけっていうのも、まあ流量がわからないのでなんとも言えないですが違和感は感じてしまいます。マイクロソフトを騙ったということでクリック率が高そうという懸念があったのと、マイクロソフト自身が注意喚起をしたからというところなんでしょうか。
NHKさんにおかれましては、クローズアップ現代とかでいいのでもう少し突っ込んだ話に持っていっていただきたいものです。
ごく平均的なネットユーザの立場に立ってみると、開かずに削除するのはいいとして本物と偽物をどうやって見極めればいいのかという話なわけです。今回話題のメールを見ると、玄人目には一発で偽物とわかるけど、素人目にはちょっと難しいかなぁという微妙なラインのデキです。1通サンプルを入手したので分析してみると、玄人目にアウトなポイントとしては主に下記の通り。
- 送信元がポーランド(ただしbotに感染したPCっぽい気はする)
- マイクロソフトのメールを謳ってるのに、SPF判定はnone
- しかもDKIM署名は付いていない
- 文中URLのアクセス先がロシア
- マイクロソフトを名乗ってるのによく見るとmicrosoft.comやoffice.comではない
- ていうかhttpsではない
一方で素人目にクリックしてしかも入力したくなるポイントはこんなところかな。というよりは、これくらいのポイントさえ押さえておけば、一定の割合で開かれるメールは送れるという証左なのかもとも思えます。
- 「セキュリティ警告」と書かれてて、ドキッとする内容で、対応しないと不利益になりそうと思わされる
- 日本語がまあまあ正確で、スパム特有の怪しさは薄い
- ドメインもパッと見ではそれっぽい
実際の被害としては少なくともMicrosoft IDとパスワードが搾取されている可能性があるみたいだけど、必然的にOneDriveやOutlook.comの情報も丸見えになっている可能性があるので、影響は決して小さくない。一方で意外と早くリンク先のサイトが閉鎖されたので、どこがどう動いたのかはわかりませんがグローバルな対応は早かったようにも思えるのがちょっとすごい。
今回のメールを技術的に拒否したりスパム判定を付ける術があるのかと考えると、文面にそこまでアウトな要素がないためベイジアンフィルタには引っかかりづらく、送信元のIPアドレスか文中のURLがブラックリストに載らない限り判別できないのではないかと思うんよね。botからの送信であればグレイリスト方式で防げる可能性はちょっとあるかな。
SPFやDKIMは「本物のドメインになりすます」ことに対しては有効だけど、「似たようなドメインを取得」してしまえば回避するのはそんなに難しくはないし。具体的な実装があるのかは知らんけど、ブラックリストの逆で真っ当なメールはドメインやIPアドレスのレピュテーションを蓄積して、本物を本物と判別するくらいしかないんかな。あるいは本当はS/MIMEやPGPがそのためのソリューションのはずだけど、知名度・普及度・難易度のいずれもいまいちなので、「素人目のわかりやすさ」との両立が難しいのがまたネックだったりするしね。
一時期までは日本語スパムメールはそもそも日本語に不自由なことが多かったので、素人目にも判別しやすいというのはあったんだけど、そこがクリアされるとさらに高度な受信者側の胆力に頼らざるをえないというのも歯がゆいところ。そういう意味では「一般ニュースになる」っていうのは有効なのかもと思ってしまったりもします。
コメント