冨山陽平のブログ “思いきり やりぬく”

ITの適正活用,ITの適正活用、組織風土改革、従業員満足度調査、これあらた、久留真家、冨山陽平

冨山陽平のブログ 思いきりやりぬく
  • 20
    Aug
    2020
    2020/08/20 (木)
  • 迷惑メールがいきなりたくさん!メールアドレスはどこから漏洩しているのか?

いきなり迷惑メールが増えるのはなぜ?

「最近、迷惑メールが増えて困っているんだよね…」このような話は個人・法人問わず、よく雑談で出てきます。では、どうして増えるのでしょう?原因としても主に次の5つが考えられます。

  1. メールアドレスを利用して登録した何らかのサービスにおいて、運営側が何らかの事情で情報漏洩してしまった。
  2. メールアドレスが載ったもの(名刺など)を、受け取った方が漏らしてしまった。
  3. メールアドレスを管理している会社(自社の場合もあり)に不正アクセスがあり、気づかないうちに漏れていた。
  4. メールアドレスをホームページ・SNSなど、公開の場に掲載していた。
  5. そもそも、類推しやすいメールアドレスのアカウント名(アットマークの左側)になっている。

 直感的には、1,2,3は自分ではなかなか制御しにくいもの、4と5は自分が意識的に修正すれば対応できそうという印象をもたれるのではないでしょうか。ただ、いざ迷惑メールが増えたときに、どういう風に漏れたかというのは原因がわからないことも多いです。そこで、どういう風に原因を知るか、防ぐ方法はあるのか、どう対処するのかという3つの論点から解説したいと思います。

メールアドレスはどこから漏れているかを知ろう。

 メールアドレスの漏洩から悪用に至るまでの間には、大きく分けて2つあります。一般的な嫌がらせか、あなたに特化した悪意か。これを表にまとめると以下のようになると思います。

  原因1 原因2 原因3 原因4 原因5
一般的な嫌がらせ ×
あなたに特化した悪意 ×

このうち、「あなたに特化した悪意」に関連する原因はなかなか特定しにくいものの、さらに悪化していくと、犯人の悪意はあなたに向けられていますので、状況次第では警察事案になるようなものです。実は私自身も、とある場所で情報セキュリティ管理について話をしたあと、原因3にあたる不正なアクセスが増えたことがあります。試してやろうと思った方がおられるのかもしれません。ただ、これは少し一般的な話とは言いにくいので、この記事では触れません。

 「一般的な嫌がらせ」で、原因3,4,5はある意味、自身の責任でありますからやむを得ないのですが、困ったことになるのは原因1です。原因1をきっかけに迷惑メールが増えた事例を、どうして原因1が原因とわかったかも含めて解説していきます。

  • 2017年xx月、当該メールアドレスを利用して登録していたサービスAの提供会社から、「不正アクセスがあって、メールアドレスが漏れた」という連絡があった。
  • 直後に、当該サービスのパスワードを変更したが、そのまま利用していた。ただ、2018年xx月に利用しなくなったので、アカウントを削除した。
  • 2020年xx月、今まで迷惑メールが来なかったメールアドレスに突如として大量の迷惑メールが届くようになった。
  • おかしいと思い、Firefox Monitorに自分のメールアドレスを入力して検索したところ、サービスAしか原因が考えられないことがわかった。しかも、このサービスAの情報漏洩直後に、メールアドレスリストの悪用がはじまったわけではなく、侵害日時が2020年になっていることから、当該サービスAを原因とした迷惑メールは最近始まったことがわかった。

 つまり、情報漏洩した直後から悪用が始まるわけではないということです。直後であれば思い当たる節があるわけですが、3年近くもたっており、しかも解約していれば忘れてしまっていることもあります。原因を知っていれば、不必要に恐れる必要もありませんから、可能な限り原因を特定することは大切になります。

漏洩自体を防ぐ方法はあるのか?

 では、漏洩自体を防ぐ方法あるのでしょうか?結論から言えば、メールアドレスを元にして、やりとりをしている以上、「一般的な嫌がらせ」「あなたに特化した悪意」は、ともに防ぎようがありません。ただ、被害が起きにくいようにすることはできます。たとえば、

  1. メールサーバやアドレスを管理しているデータがあるサーバを独立させて、特にWebサーバと同一空間で扱わない。
  2. 転送専用のメールアドレスを複数作成し、登録サービスごとに利用するメールアドレスを分けて、被害を軽減する。
  3. 名刺に記載するメールアドレスは、転送専用として、メールのやりとりが始まったときに、主のメールアドレスを利用する。

というような方法があります。当社は上記の1と2はやっています。3はもっと有名になってからやろうかと思っていますが、今のところは一切その必要性にかられません。。。

迷惑メールが届いたらどう対処するのが正解か?

 「開かない」ことが大原則ですが、最近は迷惑メールも巧妙で、さも普通のメールのような見た目をしています。善人か悪人かわからない以上、すべてを開かないわけにいきませんし、対処の難易度は高くなっています。以下、参考になるサイトを紹介いたしますので参照ください。

迷惑メールの見分け方

「詐欺・迷惑メール」を見分けるポイントとは?(NTTドコモ ネットトラブル安心サポート)

いま、どんな迷惑メールが流通しているか

日本データ通信協会 迷惑メール相談センター

受信したタイミングで同じメールを受信している人がいるか確認したい

Yahoo リアルタイム検索

 なお、当記事では、あえて迷惑メールフィルタについては触れませんでした。迷惑メールフィルタは通常のものが正常に動作している前提で、一般クライアントができる対処法という論点で書いております。

  • 2020/08/20 (木)

ITの適正活用

コメントを残す