偽メールを使って金銭をだまし取るフィッシング詐欺が横行している。特に多いのは会員が多いネット通販などを名乗ったフィッシングメールだ。

　一例を挙げると、大手アマゾンの有料会員サービス、「アマゾン・プライム」は会員数も多く、そこに狙いをつけた犯行グループが、手当たり次第に偽メールを送りつけるケースが目立つ。

　アマゾン・プライムは、会員になると一部の商品について配送料無料、プライムビデオという動画サービスで一部のコンテンツが見放題になる。昨年、プライム会員はグローバルで２億人を突破した。

　プライム会員になるにはクレジットカードを登録する必要がある。また、会費は年払いで、自ら退会手続きをしない限り自動的に更新される。

　ところが、アマゾンを騙った偽メールは、

「Amazonプライムのお支払の問題に関するお知らせ」、「Аmazonのアカウントを更新できませんでした」といった表題でメールを送りつけてくる。

　実際に、最近、筆者に届いたメールは、「Amazonプライムのお支払の問題に関するお知らせ」という表題で届いた（写真）。

　メールの文面は、

「Amazonプライムの会員のお支払いにご指定いただいたお客様のお支払い方法が承認されないため、Amazonプライムの会費をご請求することができませんでした。

　現在、Amazonプライム会員の特典はご利用いただけません。引き続きAmazonプライムの特典をご利用されたい場合、以下の手順に従ってお支払方法を更新してください。」

とあった。

　さらに、その下に、「支払い方法を更新する」というボタンがあり、巧妙に詐欺サイトに誘導しようとする。ボタンを押せば、個人情報やカード情報を入力・送信させるページが用意されている。

「＠マーク」の後の文字をしっかり確認

　この手の詐欺メールを見分ける最も基本的なポイントは、送られてきたメールのアドレスの「ドメイン」、つまり「＠マークの後」の文字を確認することである。

　アマゾンの日本サイト「amazon.co.jp」で買い物をすると、注文の確認メールが送られてくるが、そのドメインは「@amazon.co.jp」となっている。

　一方、詐欺メールのドメインは、写真にあるように、「@xysqmsr.cn」と、アマゾンと関係のないドメインになっている。

　＠マークの前の「amazon-update1」を見て「アマゾンからのメールだ」と判断してしまわないことが重要だ。

　ただ、アマゾンを騙ったメールの中には、ドメインが「@amazon.co.jp」と表示される、より高度な詐欺メールもあり、ドメイン名だけで安全と判断するのも危険だ。

　その場合は、ブラウザから自分のアマゾンのアカウントにログインし、怪しいメールにあったようなアナウンスがあるか確認した方がいいだろう。

「焦り」は禁物

　もし、本当に会費の引き落としができずに、プライム会員の特典が利用できないなら、アカウントの画面に何らかの表示が出ているはずだからである。

　筆者も、実際に偽メールと思われる怪しいメールを受け取った後に、自分のアカウントでログインしたところ、メールにあったような表示は一切なかった。そこで、この怪しいメールを、完全に「詐欺メール」であると断定した。

　もし、本当にアマゾンからのメールだったとしても、焦って対処しようとしないことが肝心だ。何らかの原因でプライム会員の特典が利用できなくなった場合、その原因をアマゾンに問い合わせるなどして確認できた時点で、改めて会費を支払う手続きなどをして、再びプライム会員になればよいだけの話である。

カード大手ビザが導入した詐欺防止の「切り札」

　とはいえ、個人の注意力には限界もある。そこで、アマゾンに限らず、インターネットでサービスを提供するあらゆる企業には、偽メールを防ぐ努力が求められる。

　ただ、ネットサービスを展開する中小企業の中には、偽メール対策といっても、どうしたら良いのか検討がつかないところが大半だろう。対策に多額の費用がかかると考える経営者も多いだろう。これは、ネットに対するリテラシーの問題であり、そこが未成熟な日本では一朝一夕に解決することは難しい。

　しかし、有効な対策はある。それも技術的に高度でもなく、費用もかからない仕組みがある。

　その仕組みが、電子メールにおける認証技術「ＤＭＡＲＣ」（ディマーク）である。なりすましメール防止の切り札と言える。

　ＤＭＡＲＣをセキュリティーの世界で有名にしたのは、クレジットカード大手のＶＩＳＡ（ビザ）だ。

　ビザは自社ドメイン（「＠visa.com」など）のメールを送っている。世界的企業のビザから届くメールは、無料メールと違って信頼されやすく、従って被害も大きかった。

　ビザを装ったなりすましメールが激減した理由は、同社が２０１５年に導入したＤＭＡＲＣだ。

　ＤＭＡＲＣについて説明する前に、今のメールは送信元が怪しいメールでも届いてしまう仕組みであることを知っておく必要がある。

　例えば、大手の○△□銀行が「＠○△□.co.jp」というドメインを所有しており、「１２３＠○△□.co.jp」というメールアドレスで定期的に預金者にお知らせを送っているとしよう。

　サイバー攻撃者は、＠○△□.co.jpというドメイン名を使うことはもちろん、１２３＠○△□.co.jpというアドレスを装ってメールを送ることもできる。つまり、今のメールは送信元の正当性を確認できないメールも受信してしまうのだ。

　ＤＭＡＲＣは端的に言えば、この「送信元アドレスの正当性を確認できないメール」を、ドメイン所有者側で「拒否」あるいは「隔離」できる技術だ（図）。

　＠○△□.co.jpドメインのメールは、ドメイン所有者である○△□銀行のサーバーを通して送られるが、○△□銀行はＤＭＡＲＣを導入することで、正当性が認められないメール（「送信ドメイン認証技術」で認証できないメール）の配信を阻止することができる。

官公庁こそ大きな効果を見込める

　ビザだけでなく、ＤＭＡＲＣを導入した米国の著名ドメインでは、数千万通から数億通のメールを配信拒否できた例もある。

　セキュリティーに詳しい情報安全保障研究所の山崎文明首席研究員は、「とりわけＤＭＡＲＣ導入で大きな効果が見込めると考えられるのが、年金機構のような官公庁だ。官公庁は国民に信頼されやすい上に、年金機構のように個人情報に関わる重要なメールを一度に大量に送信することもあるため、なりすましの格好の対象になるからだ」と指摘する。

　国はサイバーセキュリティーの重要性を訴えるのなら、速やかにＤＭＡＲＣの導入について検討を始めるべきだろう。その上で有効性を認めるのであれば、行政機関や民間企業に導入を促していくことが、日本の国益を守ることにつながる。

（編集部）