前回は、
「迷惑メールは感情論じゃなく、超合理的なビジネスとして回っている」
というところまで話したわけです。
「そこまで分かったなら、技術でバシッと止めればいいじゃん?」
って思った方、たぶん多いはず。
ところが現場は、そんなにシンプルじゃないんですよね。
むしろ、技術側はかなり頑張っているのに、それでもメールは届いてしまう。
ここに、迷惑メールという問題のいちばん面倒な部分が詰まっている、と言われています。
今回はもう一段深く潜ってみるってわけです。
- なぜ技術的に止めきれないのか
- なぜ最終的に“人間”が狙われるのか
- 企業や個人は、どこで防げるのか
このあたりを、なるべく横文字に頼らず整理していきたいところ。
ちなみに、技術系の話は出てきますが、覚える必要はまったくないので、肩の力を抜いて読んでもらえれば(笑)。
迷惑メールは「技術的にはかなり防がれている」
意外に思うかもしれないけど、
メールの世界って、実は相当ガチガチに守られていたりします。
代表的なのが、この3つ。
- SPF
- DKIM
- DMARC
横文字が並ぶと、それだけで拒否反応が出る人もいると思うので、
超ざっくり翻訳しておくと、
「このメール、本当にその会社のドアから出てきたやつ?」
を、機械同士で確認する仕組み、と言われています。
たとえばSPFは、ざっくり言うと
「このドメインのメールを送っていいサーバーは、このリストに載ってる相手だけだよ」
という“発送元の住所リスト”みたいなもの。
DKIMはもう少し凝っていて、メールの中身に電子的な“封蝋(ふうろう)”のような署名をつけて、
「途中で誰かに開けられたり、別人がなりすましてないか」をチェックする仕組み、と説明されることが多いんですよね。
DMARCは、その2つの結果をまとめて、
「もしSPFもDKIMも通らなかったメールは、どう扱う?
受信側は無視していい? それとも迷惑メール行き?」
という“現場へのお願い”を、ドメイン所有者の側から出せる仕組み、というイメージ。
要は、
- 昔: 送信元なんて名乗り放題、誰でも“〇〇銀行を名乗る人”になれた
- 今: ドメイン側で“身分証チェック”が入るようになった
という変化があるってわけです。
おかげで、明らかにアウトなやつは、受信箱に届く前にバッサリ落とされる。
昔よりは確実に減っている、と言われています。
……減ってはいる。
でも、ゼロにはならないんですよね。
ここが今回いちばん面白いところ。
なぜなら「正規ルート」も悪用されるから
ここが、正直いちばん厄介なところ。
最近増えていると言われているのが、
「他人の正規のメール環境を乗っ取って、そこから送る」
というやり口なんですよね。
つまり、こういう構図。
- どこかの会社や個人のメールアカウントが、なんらかの形で乗っ取られる
- その会社の“正規サーバー”から、悪意のあるメールが普通に送られる
- 受信側のフィルタは「ふだん通りの相手じゃん」と判断する
これ、技術的には完全に「本物のメール」なんですよね。
署名も通るし、送信元のドメインも正しい。差出人も実在する人物。
フィルタ側の気持ちで考えてみると、
「えっ、いつも取引してる会社からだし、認証も通ってるし……正常じゃん?」
ってなるわけです。
そりゃそうですよね。
受信側からすれば、「いつもの取引先のメールを止めるな」というのが本音だったりするので、
怪しいかどうかが微妙なメールは、基本“通す”側に倒れがち、とされている。
しかも乗っ取りの入り口は、案外しょぼいんですよね。
- どこかで漏れたパスワードを使い回していた
- フィッシングで一度ログイン情報を抜かれていた
- 共有アカウントで管理がガバガバだった
こういう、ごく当たり前の油断が起点になる。
要するに、攻撃側はもう「メールサーバーをハックする」より、
「すでに信用のあるアカウントを借りる」方が早い、と気づいてしまっているってわけです。
「正規ルートからの怪しいメール」
今いちばん抜けてくるのは、たぶんこのパターン。
ここで登場する「人間という最大の脆弱性」
技術が頑張っても、正規ルートが乗っ取られる。
ということは、結局のところ、最後に狙われるのは“人”ってことになるんですよね。
ここ、サイバーセキュリティの世界でもよく言われている話で、
「最大の脆弱性は人間である」みたいな言い方をされたりします。
ちょっと身も蓋もないけど、まあ事実だったりする。
システムって、
- 疲れない
- 感情も揺れない
- 同じ判断を黙々と続けられる
でも人間は、そうはいかない。
- 焦る
- 勘違いする
- 思い込みに弱い
- 「いつもの相手」って思った瞬間、確認の手が止まる
攻撃側は、技術ではなく、この“揺れ”の方を狙ってきている、というわけです。
特に狙われやすい瞬間がある、とよく指摘されている。
- 仕事が立て込んで、メールを開きながら別の作業をしているとき
- 寝不足や疲労で、判断が雑になっているとき
- 家族・お金・支払い・宅配・税金、みたいな“反射的に反応するワード”が出たとき
これ、人によらず誰でも起きる現象なんですよね。
「ITに強いから大丈夫」「うちの親じゃないんだから」とか、あまり関係ない(マジで?)。
むしろ怖いのは、
「自分は大丈夫」と思っている人ほど、確認を一段スキップしがち
ってところ。
慣れている人ほど、“いつものパターン”で判断してしまうので、
攻撃側に「いつもの顔」で来られると、けっこう簡単に通してしまう、と言われています。
企業がやるべきこと、個人ができること
「じゃあ、どうすればいいの?」
ここはちょっと分けて考えた方が、頭が整理しやすいんですよね。
企業側
- SPF・DKIM・DMARCといった送信ドメイン認証をちゃんと設定する
- 「自社を名乗る怪しいメール」を、外向きにも内向きにも減らす意識を持つ
- 社員教育では、抽象論より「実際に届いた事例」を共有する
- 怪しいと思った時に、上長や情シスに気軽に相談していい空気を作っておく
攻撃の起点はメール由来のものが多いと言われていて、技術側でかなりの量を弾いてはくれる。
ただ、致命傷になるのは、たいてい人側で出るんですよね。
「設定はバッチリ、でも社員1人が踏んだ」で全部ひっくり返る、というやつ。技術対策と人の備え、両輪が必要、と語られることが多いところ。
個人側
- 慌てて反応しない
- 即判断しない(特に「今すぐ」「至急」と書かれているもの)
- 公式アプリや公式サイトなど、必ず別ルートで確認する
- 「メールのリンクから入る」を、できるだけ習慣から外す
特別なITスキルは、正直いらないんですよね。
「一呼吸おく」
これだけで助かるケースが、本当に多い、と言われています。
逆に言うと、攻撃側が一番欲しがっているのは“あなたの反射神経”だったりする、ってわけです。
迷惑メールがなくならない本当の理由
ここまでくると、答えはわりとシンプルだったりします。
なくならない最大の理由は、儲かるから。
そして、
人間がいる限り、完全防御は理屈の上で無理。
これは別に悲観論ではなくて、現実のお話。
というか、攻撃側からすると、技術がガチガチに固まれば固まるほど、
「だったら人間を狙うか」と方針転換するだけ、ってわけです。
ある意味、合理的すぎる。
だから、目指すべきラインは、
「受信ゼロ」じゃなくて「被害ゼロ」。
届くのは、もうある程度仕方ない、と割り切る。
そのうえで、
- 届いても、開かない
- 開いても、リンクは踏まない
- 踏んでも、情報を入力しない
- 入力しても、すぐ止められるようにしておく
という“多層防御”を、自分の生活の中に薄く張っておく感じ。
引っかからなければ、こっちの勝ち。
合理的なビジネスには、合理的な距離感で対抗していくしかないんですよね。
次回予告:じゃあ、具体的にどう見抜く?
次回は、いよいよ実践編にいきたいところ。
- 怪しいメールの具体的な見抜き方
- 本文・件名・差出人、どこを見るべきか
- URLのチェックポイントと、よくある“騙しテク”
- 「これは本物っぽいけど怪しい」グレーゾーンの捌き方
このあたりを、
「あー、こういうの来た来た」という“あるある例”を使って、なるべく具体的に解剖していく予定。
受信箱を横に置きながら読むと、
たぶん「これ、うちにも来てる……」とニヤッとできるはず。
コメント