詐欺メールの可能性があります

Thunderbirdの警告

最近メールソフトのThunderbirdが警告を出すことがあります。

このメッセージは詐欺メールの可能性があります

Thunderbirdの判断の条件は、いくつかあるのかもしれませんが、リンクに書かれたURLと実際のリンク先が異なる場合に警告を出すというのは確かなようです。

ooo_bank.co.jpなどと書いてあるURLをクリックさせて、sagi_site.comに飛ばすというのがフィッシング詐欺としては基本的な手法でしょう。

これは、リンクのooo_bank.co.jpにマウスを合わせるとリンク先のsagi_site.comがステータスバーなどに表示されるのでわかります。

この一年ほどで、詐欺ではない普通のメールマガジンでこの赤い警告表示が出るようになってきました。

★このページの本文中の青色文字列はリンクではありません。リンクの表示文字列であるということを示しています。対して赤色文字列はソースのaタグ内にhref=""の内容として書かれているURLです。

例えば

日経電子版メールマガジン(2019-2-19)では、あるセミナーの紹介があり、その詳細ページのURLとして 次のようになっています。

リンクの表示文字列
https://eventregist.com/e/comemo227
aタグにhref=で書いてあるURL
http://mx4.nikkei.com/?4_--_123017_--_253462_--_44

このメールからどれぐらいの人がクリックしているかというのを計測したいという理由で、こうしてあるのだと思います。mx4.nikkei.comで計測して、mx4.nikkei.comにリダイレクトしているようです。

クリックしてブラウザに表示されるのは、書いてあるようにhttps://eventregist.com/e/comemo227の方です。クリック前にどこにつながるかが正しく知らせてあるのだと考えれば、間違った表示ではないし、何かの事情で文面をコピーしたものからでもURLがわかって良いという判断なのかもしれません。

でも、はやりのフィッシング詐欺と形式として同じだし、メールソフトに「詐欺メールの可能性がある」と言われては顧客にいらない不安を覚えされるかもしれません。

そこで、接続先のURLはリンクにしないで書いておいて、リンクの文字列には「セミナー詳細」とでもしておけば問題ないと思うのですがね。

実はちょっと疑問も

実はこの日経のメールには、問題のリンクの前に、「詳しくはこちら」というリンクもあるのです。次のようになっています。

リンクの表示文字列
こちら
aタグにhref=で書いてあるURL
http://mx4.nikkei.com/?4_--_123017_--_253462_--_43

「こちら」をクリックすると「43」、「eventregist.com」の方をクリックすると「44」がサーバーに通知されるんですね。この区別が必要なのかとも思いますが、疑問はそれではありません。

ふだんこのようなリンクをクリックすることはなかったのですが、毎回同じパターンで真面目によこしている日経電子版メールマガジンなので、今回クリックしてみました。

すると、Thunderbirdはさらに警告ダイアログを出します。

不審なサイトを開こうとしています。このサイトは別のサイトになりすましている可能性があります。mx4.nikkei.com を開いてもよろしいですか?

なんと、「こちら」をクリックしても、「eventregist.com」の方をクリックしても同様のダイアログがでます。

これはちょっと意外。「こちら」なら警告は出ないと思っていました。

mx4.nikkei.comが他のURLに結び付けられていたので、他の場所にあっても警告されるということなのかもしれません。ここがちょっと疑問なところです。

クエリがあるリンク

同じメールの次のリンクにはクエリがあります。ニュース解説イベントの紹介でやはり「詳しくはこちら」のリンクとURLが書いてあるリンクがあります。で、クエリ付き。このクエリは接続先に伝わるのだろうか、必要なものなら、普通の文字列にはできないということになります。

リンクの表示文字列
こちら
aタグにhref=で書いてあるURL
http://mx4.nikkei.com/?4_--_123017_--_253462_--_45
リンクの表示文字列
https://school.nikkei.co.jp/seminar/article.aspx?sid=P1901525 
aタグにhref=で書いてあるURL
http://mx4.nikkei.com/?4_--_123017_--_253462_--_46

やってみました。これらも

不審なサイトを開こうとしています。このサイトは別のサイトになりすましている可能性があります。mx4.nikkei.com を開いてもよろしいですか?

というダイアログがでます。接続先はどちらも同じで、sid=P1901525 というクエリも両方同じに伝わっています。

メールのソースを見ます。

<a href="http://mx4.nikkei.com/?4_--_123017_--_253462_--_45" target="_blank" class="m-inline_text">こちら</a>
<br />
<a href="http://mx4.nikkei.com/?4_--_123017_--_253462_--_46" target="_blank" class="m-inline_text">https://school.nikkei.co.jp/seminar/article.aspx?sid=P1901525</a>

見る限り、mx4.nikkei.com/へのクエリである "?4_--_123017_--_253462_--_45" で飛ぶ先で、sid=P1901525 というクエリもを付けてリダイレクトされていると考えるべきでしょう。

メールの中に sid=P1901525 はいらないということです。

メール送信者に連絡

あるメール送信元にこれを報告したところ「あなたの使っているメールソフトの言うことにいちいち付き合っていられない」という趣旨の返答でした。好印象を持っていたメーカーなので残念でしたが、メールはその後いつのまにか修正されました。

この後、他の送信元にも2,3報告しています。「クレームではなく貴社の印象が悪くなっている可能性があるのを心配しているのだ」と書くようにしています。

メールマガジンは普通、意見などを受け取りたいとは考えていないと思いますが、配信停止や配信先変更の届けはありますから、そこからたどると書けることがあります。ただし、フェブページのフォームで受け付けるようになっていて、記入欄がたくさんで閉口することがあります。フォームで送ることで不便なのが、いつどこへどのような文面で届けたかが自動では残らないことです。受付確認メールや回答が来たものはわかります、過去のメールをさっと確認した範囲では、2件の返信がありました。

一つは、Thunderbirdに限らず起き得る事態なので早急に是正すると答えていただき、すぐに改善されました。もう一つは、貴重なご意見に感謝して担当部署に申し伝え、改善の参考にするというものでした。この文面はどんな内容にも使う定型文でしょう。3月11日に返信をいただきましたが、29日のメールマガジンまでは同じ状態です。次は4月2日になりますが組織が大きいので直らないでしょう。

質問やクレームに対処する部署に技術屋さんを配置するのは無理だとは思いますが、詳しい人に話が通るかどうかでその組織の体質がわかります。

今回のことは対処してくれなくても、こちらに何か不都合があるわけではないので、ストレスなく観察できます。

他のメールも観察します

2019年2月下旬以降到着で警告のでているメールを記録してみます。報告したのに直っていないところと、まだ送信元に報告していないものとが混ざっています。

ニセのURLでごまかさずに、普通の文字列になっていても、クリックした時の接続先が安全という保証にはなっていないので、Thunderbirdのしくみが素晴らしいものというわけではありません。でも、新規で巧妙なトリックでなく使い古された手法であっても騙される人はいるものですから、ある程度の効果を期待できるでしょう。そして表示されたURLをクリックさせるリンクがどうしても必要なわけではないのですから、このようなリンクを使うことを避けるのは合理性があるといえるでしょう。

他のメールソフトがどうなっているか知らないのですが、Thunderbirdはそれほどマイナーなソフトウェアでもないので、送信者に少なからず問い合わせがいっていると思うのですが、なかなか無くならないのはなぜでしょう。

日経電子版メールマガジン

2019-2-22/26/
2019-3-1/5/8/12/15/19/22/26/29

リンクの表示文字列
https://school.nikkei.co.jp/seminar/article.aspx?sid=P1901525 
aタグにhref=で書いてあるURL
http://mx4.nikkei.com/?4_--_123339_--_253576_--_26

Web担ウィークリー

2019-2-25/
2019-3-11/25

発行:株式会社インプレス Web担当者Forum 編集部

リンクの表示文字列
https://www.gd-expo.jp/
aタグにhref=で書いてあるURL
http://cc.mas.impress.co.jp/c/00daz6_0001ujms_94
最終的に表示されるページのURL
https://www.gd-expo.jp/ja-jp.html

このメールには問題にならないはずのリンクもあるのですが、クリックすると警告されます。メールに怪しい所があるとすべてのリンクに警告を入れるという仕組みかもしれません。

リンクの表示文字列
→今すぐチェックする
aタグにhref=で書いてあるURL
http://cc.mas.impress.co.jp/c/00daxh_0001ujms_43
最終的に表示されるページのURL
https://webtan.impress.co.jp/q/2019/02/31899

Web担ウィークリーには警告のつかないメールもたくさんあります。以下のようにURLは異なってもドメイン名が共通なら問題ないのかもしれません。

リンクの表示文字列
https://webtan.impress.co.jp/editors_note
接続先として書いてあるURL
http://cc.mas.impress.co.jp/c/00daxd_0001ujms_c2
最終的に表示されるページのURL
https://webtan.impress.co.jp/editors_note

SE Book News 号外

2019-03-19

2019-03-26 解消

発行:株式会社翔泳社

翔泳社からはいろいろなメールマガジンが来ていて、すべて【棚卸実施に伴う出荷停止のお知らせ】の項目です。このメールマガジンでも警告の出るメールはありましたが、どれも棚卸しの記載は一度だけでした。

リンクの表示文字列
◆詳細:http://www.seshop.com/news/detail/622
aタグにhref=で書いてあるURL
http://go.shoeisha.jp/c/ahxCap4ttX2ypvci

3-26 解消後

リンクの表示文字列
◆詳細はこちら
aタグにhref=で書いてあるURL
http://go.shoeisha.jp/c/ah2tap6QtteXjebY

[リクルートID]お得情報

2019-03-19

リクルートIDニュース【お得情報】の最後の「編集・著作・発行:株式会社リクルート」という署名後のアドレスです。不定期の配信のようですが、この回のみ異なっていて警告がでます。この日の前後は両方共www.recruit.co.jp/です。

リンクの表示文字列
https://www.recruit.co.jp/company/recruitcoltd/
aタグにhref=で書いてあるURL
http://rec.mpse.jp/cap7/c.p?a2cDWiJ3v7kZ