NTTドコモは25日、フィッシング詐欺メールなどの対策の一環として、「ドコモメール公式アカウント」の提供を開始した。この機能を導入した企業から送信されるメールには、公式アカウントのマークが表示されるという。偽装されたメールでは、マークが表示されないため、送信元の判別が容易になるとしている(ドコモリリース、ITmedia)。導入が決まっている企業は以下の通り。SMBCグループ、佐川急便株式会社、日本郵政グループ(株式会社ゆうちょ銀行)、株式会社三菱UFJ銀行、ヤフー株式会社、LINE株式会社、楽天グループ株式会社[2021年5月25日時点、50音順]
あれば助かるけど (スコア:3, すばらしい洞察)
このマークがあるから安全と理解できる人は元々フィッシングにはそうそう引っかからない人達だろうし、
引っかかりやすい人たちはこのマークが無いから危険だと理解するのが難しい人達なんだろうな。
Re: (スコア:0)
このフィッシング詐欺対策が、その他の詐欺の支援にならないことを祈る。
フィッシング詐欺対策が、詐欺防止だと勘違いして
普通ならあやしくて引っかからないが、このマークのおかげで安全だと勘違いして引っかかる。
(小さな字、色等、読まないように工夫してるのに、読まない奴がわるいと責めることができる詐欺ね)
このフィッシング詐欺対策がどういう機能か正しく理解させないと余計危ない。
S-MIMEやGPGを (スコア:2)
HTTPSはそうなってきたのにメールはいまだに署名付きにならない。
Re:S-MIMEやGPGを (スコア:1)
銀行系だと、三菱UFJ、三井住友、みずほ、ゆうちょはS/MIME署名付けてメール送ってくるようになった
クレジットカード系は全滅
Re: (スコア:0)
protonmailで署名付きで送ると、
一般人には見慣れない添付ファイルがついていったりで、
「うちのパソコンでは読めませんでした」
とクレームばかり返ってくる。
ドコモメール公式SPAMアカウント (スコア:1)
このSPAMは間違いなくこの会社から来ています、という証明のためにあるのですね。
Re: (スコア:0)
わざわざ楽天を騙ってSPAMを送る奴がいるだろうか?
Re: (スコア:0)
送り先はメルマガ解除すらしないメアド名簿なわけでしょ。一定数引っかかるなら大成功なのでは。
Re: (スコア:0)
SPAMはともかく、楽天騙ったフィッシングは普通に来る。
企業向けは格付け会社がサービス提供するのが良いと思うのだけど (スコア:1)
帝国データバンクあたりに格付け情報とセットで証明書発行してもらって、それ使って公式非公式を判断する、みたいな仕組みにするのが一番合理的だと思う。
人手使って経済実態確認して、法律上の登記情報、ブランディング活動実績とかそういうのを総合的に判断できる情報をもともと集めているのがこの手の格付け会社。そこが公式窓口情報を提供するようになればこれ以上に信頼できるデータはないだろう。
ないのかね、そういうサービス。少なくとも需要は多いと思うのだけど。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:企業向けは格付け会社がサービス提供するのが良いと思うのだけど (スコア:3)
普通の電子メールだと、ちょっと前までJIPDECがROBINS連携するのでDMARCと照合して、ってサービスをやってて、それ使ってYahoo!とかNiftyとかがWebMailに安心マークを表示とかやってたんだけど、JIPDECがROBINSやめちゃったのでYahoo!が独自でマーク表示を始めたとかいうことになってますね。
WebMail業者に個別でやられると送る側は個別交渉しないといけないので広く対応するのは困難になります。Yahoo!的にはBIMIが軌道に乗るまでのつなぎなんだろうと想像しますが、BIMIでもリスト管理は人力なので送る側の面倒さとか受け側の胸三寸なのは一緒かな。
ドコモの場合はインターネットのメールと似て非なる「ドコモのメール」なのと、UI上はSMSやRCSも混じるから独自に何かやらざるを得ないのと、携帯キャリアは大手が3社しかないから個別交渉が成立するところがあるんじゃないかなと想像します。
Re: (スコア:0)
>UI上はSMSやRCSも混じるから
SMS・RCSは+メッセージで、ドコモメールはメールだけではないでしょうか?
Re:企業向けは格付け会社がサービス提供するのが良いと思うのだけど (スコア:1)
あるよ、そういうサービス。
TDB DigiCert 電子認証サービス Class2 | 商品・サービス | 株式会社 帝国データバンク[TDB] [tdb.co.jp]
別にこれじゃなくても、企業認証型S/MIMEメール証明書って帝国データバンクか東京商工リサーチの集めた窓口情報を元に発行されるのが普通だから、自然とそうなってる。
ただ、普及率が……っていうのは他スレでも言われてる通り。
SPFにしろDKIMにしろヘッダー見なきゃ分からないからな (スコア:1)
パソコンのメールソフトならヘッダー見て判断するとか、メールフィルタの条件にするとかできるけど
携帯電話やスマホのメールソフトからはヘッダーが見られないので自力で判断するのは不可能だ
(通信量を減らすためにヘッダーを削除して端末に転送してくるのだろうか)
……という点では悪くないと思うけどね(プレスリリースにはSPFを使うと書いてある)
# ソフトバンクは届いたメールのヘッダーを2週間保存しているが、見るのはMy SoftBankから
Re: (スコア:0)
目視での確認は紛らわしい値を排除するのが難しいので、
公式でホワイトリストを用意してマッチングしてくれるのはありがたいね。
Re: (スコア:0)
SPFもDKIMも受信メールサーバーが確認することで、メールソフトは何もしないのが基本でしょ。
Failしたメールは(設定が正しければ)迷惑メールフォルダ入りか受取拒否になるのでメールソフトで何か設定する必要もない。
ahamo (スコア:1)
ドコモメールってキャリアメールのこと?
ahamoで使えないからてっきりドコモは止めたいのだと思ってた。
〜◍
Re: (スコア:0)
総務省はキャリアメール維持したまま乗り換えできるようにさせたいみたいなので、辞めたくても辞められない状況かも。
【脆弱です】SPF で「公式マーク」は危険です (スコア:1)
Yahoo! Mail [srad.jp] も同じようなことやってますが、そっちは DKIM なので SPF よりはだいぶ安全性が高いです。
SPF が何が駄目かというと、メール配信システムはIPアドレスを共有するサービスが使われることが多くて(迷惑メールフォルダ行きを避けるためのノウハウが複雑なので固定IPの自社サーバから配信するのではなくSaaSに任せるのが今は一般的)、ホワイトリストに入っている同じメール配信サービスを使うことで、偽メールにも公式アカウントのマークが表示される恐れがあります。
電子署名方式の DKIM ではその問題が生じないので、そっちにすべきでした。
安全性としては、
S/MIME >> DKIM >>>> 超えられない壁 >>>>> SPF です
Re: (スコア:0)
そんなスパム業者も混在してる「SIer」のIPアドレス登録は規約で禁止すればいいだけの話。
金融機関とかの「まともな企業」はそんなセキュリティ製品の裏を掻くようなの使って配信したりしない。
使ったとしてもSalesforceとか、それなりに要件が厳しいところを使う。
Re: (スコア:0)
三菱東京UFJ銀行 [qualias.jp]や楽天銀行 [rakuten.net](楽天KC [srad.jp]等含む)はReturn-Pathが"bma.mpse.jp"、つまりチーターデジタル社のCheetah Messaging [cheetahdigital.com]を使ってるんですけど、これらはあなたの言う「まともな企業」じゃな
Amazonもやらんかな (スコア:0)
暗号化もしてほしい
Re:Amazonもやらんかな (スコア:1)
(ただし、Amazon系列からのDMとかはメッセージセンターに無かったりする)
あとは、DKIMだったかDomeinKeysだったか送信ドメイン認証てのもあったと思うけどどれくらい普及しているのだろうか?
Re:Amazonもやらんかな (スコア:1)
あとは、DKIMだったかDomeinKeysだったか送信ドメイン認証てのもあったと思うけどどれくらい普及しているのだろうか?
普通にフィッシングメールで使われてますよ。
Re: (スコア:0)
とゆーか、スパマーの方が対応してる気がする
いつもの (スコア:0)
公式アカウントがハッキングされて、振り込みを要求する「公式メール」が送りつけられる未来が想像できた。
Re:いつもの (スコア:3, おもしろおかしい)
ハッキングなんて面倒なことしなくても、メール先頭に
「【安全】このメールは公式アカウントがお送りしており、セキュリティが守られております【安心】」
って入れとくだけで大丈夫。
Re:いつもの (スコア:1)
勘違いしてはいけない「フィッシング詐欺」の防止だけで、公式の詐欺まがいのメールは送られてくるんだよ
高額な「実質」無料!とか、○○放題○○した分払ってねとか、嘘は言ってないよw
昔からある (スコア:0)
S/MIMEじゃだめなの?
今時対応してないメーラーのほうが少ないと思うけどな
Re: (スコア:0)
Webサイトのフィッシング詐欺対策に「EV SSL証明書じゃ駄目なの?」って聞くぐらい駄目。
Re: (スコア:0)
でも、SSLほど普及してないS/MIMEなら、"まだ"価値はあると思うけどな。
詐欺師が使い始めるほど普及したら万々歳だ。
Re:昔からある (スコア:2)
spammerや詐欺師は資金力も技術力もあるし、実績としても送信ドメイン認証に普通に対応してきてるから、S/MIMEの証明書を取るぐらいは一般に普及する度合いを睨んで信用されそうだと見ると早々にやってくるんじゃないかしら。
Re: (スコア:0)
> Webサイトのフィッシング詐欺対策に「EV SSL証明書じゃ駄目なの?」って聞くぐらい駄目。
いいえ、駄目ではないですよ。EV証明書でも別に構わないです。
S/MI
Re: (スコア:0)
認識が古い。しかもリテラシーの高い人向けの意見だろ?
そのレベル向けで良ければそりゃS/MIMEでも充分だろうさ。
そういう意味でも#4039354は適当だろ。
Re: (スコア:0)
これ2018年のツイートだからそんなに古くないけど、新しい認識ってどういうの?
しかもwhoisできない、正しいドメイン名も分からない、リテラシー低い人向けに会社名で簡単に確認できるようにしようって技術なんだけど、どこがリテラシー高い人向けだと思った?
フィッシングではないけども (スコア:0)
詐欺っぽい会社も公式アカウントマークつけれるんだぁ~
Re: (スコア:0)
詐欺っぽい会社は詐欺っぽい会社なりに矜持がある!
関連ストーリー? (スコア:0)
Yahoo!JAPANがフィッシング対策としてWebメールにアイコン表示
https://srad.jp/story/06/04/28/0337214/ [srad.jp]
Re:関連ストーリー? (スコア:1)
これ今でもやってるんだけど、あまり普及してない
https://announcemail.yahoo.co.jp/brandicon_list/index.html [yahoo.co.jp]
Re: (スコア:0)
どうでもよい企業ばかりなんだよなあ。
https://announcemail.yahoo.co.jp/brandicon_list/index.html [yahoo.co.jp]
公式スパムという問題 (スコア:0)
楽天とか公式マーク付けてスパム送ってきそうなもんだけど「マーケティング目的では利用しないこと」って条件を付けないと意味のないものになる気がする。
Re: (スコア:0)
スパム対策じゃなくてフィッシング詐欺対策だから