あちこちで釣り師が餌をばら撒いてるなぁ
あれこれ思うところあり。
一提案:クリッカブルでないHTMLメール(1)
ただのテキストとして送るだけでもクリッカブルにしてしまうMUA(例:Outlook Express)で、どう見てもURLだというものをクリッカブルにしない方法はある。
それは、HTMLメールを使うことだ(笑)。
“フィッシング時代”のメール「べからず」集に書いてある内容が参考にはなるものの、同記事中にある星澤さんの見解
HTMLメールを使って,偽サイトへのURLなどを隠すのもフィッシングの常とう手段。表現力に優れるHTMLメールではあるが,フィッシングの“温床”になっていることも事実である。このため,「フィッシング対策の観点だけから考えれば,HTMLメールの利用は避けたほうがよいだろう
は、単純に賛同できるものではない。条件付でHTMLメールの使用はよいのではという岡田さんの意見はもっとも。ただ、ちょっとイメージがしづらい。
ちなみに、クリッカブルでないHTMLメールを配信する、という方法を取る場合、「ウチから出すメールは、クリッカブルにはしてないよん」というのを何らかの方法でアピールしておく必要もあるだろう。
それ以前に、前からMUAを使ってて違和感が湧いてたのは、「テキストで読み取るようにしててもクリッカブルな部分」があるという点なので、その部分を解決してみよう。
本質的には、テキストで読み取るようにしているメールについては、クリッカブルにならないのが理想なので、こんな小細工ないほうがいいw
一提案:クリッカブルでないHTMLメール(2)
やることは、「HTMLメールを作成し、HTMLパートからリンクを徹底的に抜く」というだけである。結構ザルであるが、テキストメールがどうしてもクリッカブルになってしまうMUAをどうするか?というのを考えた末に、そのアイデアを実装してみたものである。これだけで、HTMLパートについては、URLと思われる文字列があってもクリックできないメールが出来上がる。
出来たメールを読んだ時にどう見えるかを示そう。
以下はテキストメールであるが、クリッカブルな部分が残る。
以下はHTMLメールであるが、クリッカブルな部分はない。
一応、もとになったサンプルメールはこちらから取得可能(gzipで圧縮してある)である。
ことこのケースに限って言えば、HTMLメールの方が安全に見える(苦笑)。
クリッカブルでなくして効果あるか?
Phishing自体は、いってしまうと「ソーシャルエンジニアリング的な手法」を「実装」したものである。どこまでいってもいたちごっこであり、クリッカブルでなくそうが何しようが、URLを何も考えずにコピペするようなケースには何の効果ももたらさない。クリック猿がコピペ猿になるだけという最悪の予想もできる。
となると、ユーザ個々の知識に頼ることなく、釣りサイトデータベース(ブラックリスト)を参照するようなProxyを必ず通るようにしてやる、もしくはそういう対策ソフトウェアを用いるというようにするのが最終的には必要になるんだろうなぁ。