パスワードを忘れた? アカウント作成
15294769 story
NTT

ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 42

ストーリー by nagazou
なんか違うような 部門より

NTTドコモは25日、フィッシング詐欺メールなどの対策の一環として、「ドコモメール公式アカウント」の提供を開始した。この機能を導入した企業から送信されるメールには、公式アカウントのマークが表示されるという。偽装されたメールでは、マークが表示されないため、送信元の判別が容易になるとしている(ドコモリリースITmedia)。

導入が決まっている企業は以下の通り。

SMBCグループ、佐川急便株式会社、日本郵政グループ(株式会社ゆうちょ銀行)、株式会社三菱UFJ銀行、ヤフー株式会社、LINE株式会社、楽天グループ株式会社 [2021年5月25日時点、50音順]

  • あれば助かるけど (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2021年05月27日 10時19分 (#4039406)

    このマークがあるから安全と理解できる人は元々フィッシングにはそうそう引っかからない人達だろうし、
    引っかかりやすい人たちはこのマークが無いから危険だと理解するのが難しい人達なんだろうな。

    ここに返信
    • by Anonymous Coward

      このフィッシング詐欺対策が、その他の詐欺の支援にならないことを祈る。

      フィッシング詐欺対策が、詐欺防止だと勘違いして
      普通ならあやしくて引っかからないが、このマークのおかげで安全だと勘違いして引っかかる。
      (小さな字、色等、読まないように工夫してるのに、読まない奴がわるいと責めることができる詐欺ね)

      このフィッシング詐欺対策がどういう機能か正しく理解させないと余計危ない。

  • by manmos (29892) on 2021年05月27日 11時33分 (#4039451) 日記

    HTTPSはそうなってきたのにメールはいまだに署名付きにならない。

    ここに返信
    • by Anonymous Coward on 2021年05月27日 12時05分 (#4039472)

      銀行系だと、三菱UFJ、三井住友、みずほ、ゆうちょはS/MIME署名付けてメール送ってくるようになった
      クレジットカード系は全滅

    • by Anonymous Coward

      protonmailで署名付きで送ると、
      一般人には見慣れない添付ファイルがついていったりで、
      「うちのパソコンでは読めませんでした」
      とクレームばかり返ってくる。

  • by Anonymous Coward on 2021年05月27日 9時00分 (#4039357)

    このSPAMは間違いなくこの会社から来ています、という証明のためにあるのですね。

    ここに返信
    • by Anonymous Coward

      わざわざ楽天を騙ってSPAMを送る奴がいるだろうか?

      • by Anonymous Coward

        送り先はメルマガ解除すらしないメアド名簿なわけでしょ。一定数引っかかるなら大成功なのでは。

      • by Anonymous Coward

        SPAMはともかく、楽天騙ったフィッシングは普通に来る。

  • 帝国データバンクあたりに格付け情報とセットで証明書発行してもらって、それ使って公式非公式を判断する、みたいな仕組みにするのが一番合理的だと思う。

    人手使って経済実態確認して、法律上の登記情報、ブランディング活動実績とかそういうのを総合的に判断できる情報をもともと集めているのがこの手の格付け会社。そこが公式窓口情報を提供するようになればこれ以上に信頼できるデータはないだろう。

    ないのかね、そういうサービス。少なくとも需要は多いと思うのだけど。

    ここに返信
    • 普通の電子メールだと、ちょっと前までJIPDECがROBINS連携するのでDMARCと照合して、ってサービスをやってて、それ使ってYahoo!とかNiftyとかがWebMailに安心マークを表示とかやってたんだけど、JIPDECがROBINSやめちゃったのでYahoo!が独自でマーク表示を始めたとかいうことになってますね。
      WebMail業者に個別でやられると送る側は個別交渉しないといけないので広く対応するのは困難になります。Yahoo!的にはBIMIが軌道に乗るまでのつなぎなんだろうと想像しますが、BIMIでもリスト管理は人力なので送る側の面倒さとか受け側の胸三寸なのは一緒かな。

      ドコモの場合はインターネットのメールと似て非なる「ドコモのメール」なのと、UI上はSMSやRCSも混じるから独自に何かやらざるを得ないのと、携帯キャリアは大手が3社しかないから個別交渉が成立するところがあるんじゃないかなと想像します。

      • by Anonymous Coward

        >UI上はSMSやRCSも混じるから
        SMS・RCSは+メッセージで、ドコモメールはメールだけではないでしょうか?

    • あるよ、そういうサービス。

      TDB DigiCert 電子認証サービス Class2 | 商品・サービス | 株式会社 帝国データバンク[TDB] [tdb.co.jp]

      デジサート・ジャパン社の電子認証技術とコラボレートによる電子証明書です。E-mailや御社が作成したドキュメントに電子署名を付与することで、その信頼性を高め、取引先や顧客に安心して受け取ってもらえます。

      別にこれじゃなくても、企業認証型S/MIMEメール証明書って帝国データバンクか東京商工リサーチの集めた窓口情報を元に発行されるのが普通だから、自然とそうなってる。
      ただ、普及率が……っていうのは他スレでも言われてる通り。

  • パソコンのメールソフトならヘッダー見て判断するとか、メールフィルタの条件にするとかできるけど
    携帯電話やスマホのメールソフトからはヘッダーが見られないので自力で判断するのは不可能だ
    (通信量を減らすためにヘッダーを削除して端末に転送してくるのだろうか)

    ……という点では悪くないと思うけどね(プレスリリースにはSPFを使うと書いてある)

    # ソフトバンクは届いたメールのヘッダーを2週間保存しているが、見るのはMy SoftBankから

    ここに返信
    • by Anonymous Coward

      目視での確認は紛らわしい値を排除するのが難しいので、
      公式でホワイトリストを用意してマッチングしてくれるのはありがたいね。

    • by Anonymous Coward

      SPFもDKIMも受信メールサーバーが確認することで、メールソフトは何もしないのが基本でしょ。
      Failしたメールは(設定が正しければ)迷惑メールフォルダ入りか受取拒否になるのでメールソフトで何か設定する必要もない。

  • by yellow tadpole (7084) on 2021年05月27日 15時04分 (#4039590) 日記

    ドコモメールってキャリアメールのこと?
    ahamoで使えないからてっきりドコモは止めたいのだと思ってた。

    --
    〜◍
    ここに返信
    • by Anonymous Coward

      総務省はキャリアメール維持したまま乗り換えできるようにさせたいみたいなので、辞めたくても辞められない状況かも。

  • by Anonymous Coward on 2021年05月27日 15時50分 (#4039620)

    Yahoo! Mail [srad.jp] も同じようなことやってますが、そっちは DKIM なので SPF よりはだいぶ安全性が高いです。

    SPF が何が駄目かというと、メール配信システムはIPアドレスを共有するサービスが使われることが多くて(迷惑メールフォルダ行きを避けるためのノウハウが複雑なので固定IPの自社サーバから配信するのではなくSaaSに任せるのが今は一般的)、ホワイトリストに入っている同じメール配信サービスを使うことで、偽メールにも公式アカウントのマークが表示される恐れがあります。

    電子署名方式の DKIM ではその問題が生じないので、そっちにすべきでした。

    安全性としては、

    S/MIME >> DKIM >>>> 超えられない壁 >>>>> SPF です

    ここに返信
    • by Anonymous Coward

      そんなスパム業者も混在してる「SIer」のIPアドレス登録は規約で禁止すればいいだけの話。

      金融機関とかの「まともな企業」はそんなセキュリティ製品の裏を掻くようなの使って配信したりしない。
      使ったとしてもSalesforceとか、それなりに要件が厳しいところを使う。

  • by Anonymous Coward on 2021年05月27日 8時17分 (#4039338)

    暗号化もしてほしい

    ここに返信
    • 暗号化は別として、Amazonの場合はメッセージセンター見ればAmazonからのメールか確認できるのでその点は評価できると思う
      (ただし、Amazon系列からのDMとかはメッセージセンターに無かったりする)

      あとは、DKIMだったかDomeinKeysだったか送信ドメイン認証てのもあったと思うけどどれくらい普及しているのだろうか?
      • by Anonymous Coward on 2021年05月27日 9時23分 (#4039374)

        あとは、DKIMだったかDomeinKeysだったか送信ドメイン認証てのもあったと思うけどどれくらい普及しているのだろうか?

        普通にフィッシングメールで使われてますよ。

        • by Anonymous Coward

          とゆーか、スパマーの方が対応してる気がする

  • by Anonymous Coward on 2021年05月27日 8時30分 (#4039344)

    公式アカウントがハッキングされて、振り込みを要求する「公式メール」が送りつけられる未来が想像できた。

    ここに返信
    • Re:いつもの (スコア:3, おもしろおかしい)

      by hogeman (4385) on 2021年05月27日 9時14分 (#4039367) 日記

      ハッキングなんて面倒なことしなくても、メール先頭に
      「【安全】このメールは公式アカウントがお送りしており、セキュリティが守られております【安心】」
      って入れとくだけで大丈夫。

    • by Anonymous Coward on 2021年05月27日 9時14分 (#4039368)

      勘違いしてはいけない「フィッシング詐欺」の防止だけで、公式の詐欺まがいのメールは送られてくるんだよ

      高額な「実質」無料!とか、○○放題○○した分払ってねとか、嘘は言ってないよw

  • by Anonymous Coward on 2021年05月27日 8時46分 (#4039348)

    S/MIMEじゃだめなの?
    今時対応してないメーラーのほうが少ないと思うけどな

    ここに返信
    • by Anonymous Coward

      Webサイトのフィッシング詐欺対策に「EV SSL証明書じゃ駄目なの?」って聞くぐらい駄目。

      • by Anonymous Coward

        でも、SSLほど普及してないS/MIMEなら、"まだ"価値はあると思うけどな。
        詐欺師が使い始めるほど普及したら万々歳だ。

        • by tmiura (6268) on 2021年05月27日 10時42分 (#4039426) 日記

          spammerや詐欺師は資金力も技術力もあるし、実績としても送信ドメイン認証に普通に対応してきてるから、S/MIMEの証明書を取るぐらいは一般に普及する度合いを睨んで信用されそうだと見ると早々にやってくるんじゃないかしら。

      • by Anonymous Coward

        > Webサイトのフィッシング詐欺対策に「EV SSL証明書じゃ駄目なの?」って聞くぐらい駄目。

        いいえ、駄目ではないですよ。EV証明書でも別に構わないです。

        Web閲覧の信用性は結局、自分の知っているサイトか否かを確認することでしかない(誰かが信用してよいサイトと証明してくれるのではなく)。「自分の知っているサイトか否かを確認」は、ドメイン名でするか、会社名でするか。後者がいいと思うならEV証明書を使う。前者がいいと思うならDVで足りる。

        — Hiromitsu Takagi (@HiromitsuTakagi) June 5, 2018 [twitter.com]

        S/MI

        • by Anonymous Coward

          認識が古い。しかもリテラシーの高い人向けの意見だろ?
          そのレベル向けで良ければそりゃS/MIMEでも充分だろうさ。
          そういう意味でも#4039354は適当だろ。

          • by Anonymous Coward

            これ2018年のツイートだからそんなに古くないけど、新しい認識ってどういうの?
            しかもwhoisできない、正しいドメイン名も分からない、リテラシー低い人向けに会社名で簡単に確認できるようにしようって技術なんだけど、どこがリテラシー高い人向けだと思った?

  • by Anonymous Coward on 2021年05月27日 10時02分 (#4039392)

    詐欺っぽい会社も公式アカウントマークつけれるんだぁ~

    ここに返信
    • by Anonymous Coward

      詐欺っぽい会社は詐欺っぽい会社なりに矜持がある!

  • by Anonymous Coward on 2021年05月27日 10時07分 (#4039397)

    Yahoo!JAPANがフィッシング対策としてWebメールにアイコン表示
    https://srad.jp/story/06/04/28/0337214/ [srad.jp]

    ここに返信
  • by Anonymous Coward on 2021年05月27日 14時09分 (#4039563)

    楽天とか公式マーク付けてスパム送ってきそうなもんだけど「マーケティング目的では利用しないこと」って条件を付けないと意味のないものになる気がする。

    ここに返信
    • by Anonymous Coward

      スパム対策じゃなくてフィッシング詐欺対策だから

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...