皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

事業者であれば受け取ることの多い『営業・宣伝メール』ですが、本来、送る側は『特定電子メール法』の準拠した形で送らなければいけません。

しかし、そういったメールの大半は法を無視した形で送られています。

特定電子メール法の間違った認識

まず、事業者が事業者に送るメールであったとしても無作為に送って良いということはありません。

特定電子メール法においては『必ず相手の同意を得る』ということになっています。

ただし、これには例外があります。

１．取引関係にある

２．過去に名刺交換をしたことがある

３．ホームページ上などの広告宣伝物にメールアドレスの記載がある

これらに関しては規制の例外となります。

これらの規制を逸脱して行われるケースとしては以下のようなケースがあります。

１．ホームページのお問い合わせフォームから営業・宣伝行為を行う。

（メールアドレスが公開されていなければアウトです。）

２．事業者がよくつかう『info』や『contact』宛に営業・宣伝行為を行う。

この2つのケースが多く見られます。

ここからは受信者に向けた注意喚起になりますが、

2番目の手法は一番多いケースかと思いますが、このケースにおいては文末に配信停止用のリンクURLを記載し、そこから配信停止をさせようとするものや、送信したメールは『特定電子メール法に準拠して配信されている』と記載しているものがありますが、これはどちらも怪しいものだと思った方が良いです。

前者の場合、穿った見方をすればリンクURLをクリックさせることによってそのメールアカウントが生きているかどうかを確認するために使っているとも捉えることができます。

（ただ作成されていただけのものであれば誰もリアクションをしませんから。）

後者の場合、おそらく特定電子メール法に準拠していないことは承知の上で記載している可能性が高いです。

それを記載することで『やむを得ないものだ』と認識させ、再度送信するチャンスを得ておくといったことが考えられます。

ご丁寧に特定電子メール法に関するガイドラインが掲載されたリンクURLを記載してくるところもありますが、それも安心感を植え付けるだけのものでしかありません。

では、最後に送信される事業者、受信される事業者、双方へのコメントです。

送信される事業者の方、間違った認識のままメールを無作為に送信し続けることは非常に危険です。

場合によっては『行政指導』や『行政処分』、最悪の場合は『刑事罰』が待っていますので認識を改めた方が良いです。

受信された事業者の方、このようなメールには反応することなく、そのメールアドレスを淡々とブロックしてしまうことしかありません。

無駄に反応しない方が無難かと思われます。

しかし、これにおいても問題が起きた事例があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた二要素（二段階）認証（Two-Factor Authentication：2FA）における問題事例ですが、今月初め、米国のソーシャルニュースサイト『reddit』にて発生しました。

redditでは、SMS（ショートメッセージサービス）を使った二要素（二段階）認証を義務付けていたようですが、これでは守り切れずに不正侵入を許してしまったようです。

では、このような事態から保護するにはどのようにしたら良いのでしょうか？

二要素認証を突破されないために

まずは二要素（二段階）認証の主な種類を見ていきましょう。

１．SMS（ショートメッセージサービス）を使うケース

２．E-mailを使うケース

３．電話を使うケース

４．ハードウェアトークンを使うケース

５．ソフトウェアトークンを使うケース

この中で、４と５のトークンを使った二要素（二段階）認証であれば今回の『reddit』のような事態は防げる確率は上がるはずです。

現にredditは、SMSベースの2FA認証からトークンベースの2FA認証への切り替えを促しています。

ただし、こればかりはサービスを提供している側がどのセキュリティ方法を提供しているかにもよりますので難しいところもありますが、選択肢があるのであればトークンベースの2FA認証に変更することがお勧めです。

また、仮に現時点ではSMSベースの2FA認証しか提供されていなかったとしても、今回のような事態を受け、他のサービスにおいてもトークンベースの2FA認証が提供される可能性も大きいと思われますので、こまめに情報をチェックしておくと良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

6月に入り、またいくつかのフィッシングメール等が拡散されています。

今日はそれをご紹介します。

フィッシングメール等が複数発生中

ここ数日見受けられるものとしては以下のものがあります。

１．Appleをかたるフィッシングメール

２．VISA JAPANをかたるフィッシングメール

３．Amazonをかたるフィッシングメール

４．セゾンNetアンサーをかたるフィッシングメール

５．LINEをかたるフィッシングメール

６．佐川急便をかたるフィッシングメール

把握している限りでは上記のフィッシングメール等が出回っています。

１のAppleをかたるものに関しては、以前から出回っている『apple.com』を偽装したものが未だ残っている可能性があり、それに加えて『apple.co.jp』を偽装した『PDFファイル付』の『ポリシー』に関するもの。

２に関しては、VISAが問い合わせを受けたものの回答以外にメールを発信することはなく、本文を読んでも明らかに怪しい内容のもの。

３と４に関しては、偽サイトに誘導後、IDとパスワードなどを盗み出そうとするもの。

５に関しては、LINEの二段階パスワードを設置させると見せかけ、メールアドレスやパスワードを盗み出そうとするもの。

６に関しては、E-mailに加えてSMS（ショートメール）で送られてくるもの。

このようなものがあります。

昨今はスパム系のメールも巧妙化してきてはおりますが、これらのものは注意深く見れば必ずおかしな点が存在します。

また、リンクの張られたURLも表面的には正規のものが書かれていますが、中身を見ると全く異なるURLへのリンクが張られていることがわかります。

（絶対にクリックせず、マウスポインタをそのリンクURLにあわせてみるだけで確認できます。)

このようなメールは、少し注意を払えば被害を防ぐことができるものが大半ですので、常日頃からそういった習慣をもっておくことが重要です。