「佐川急便を装った迷惑メール」に学ぶ、企業とユーザーに求められる対処方法とは

佐川急便を装った迷惑メールが急増しているとして、警察が注意を呼びかけています。県警によると、7月20日以降、「携帯電話に佐川急便を装ったショートメールが届いた」等という相談が数件寄せられているということです。
佐川急便への相談は7月に入ってから急増し、下記、公式サイト内で23の事例を紹介した上で注意喚起を行っています。

画像出典:http://www2.sagawa-exp.co.jp/whatsnew/detail/721/

メールには「お客様宛にお荷物のお届けにあがりましたが、不在の為持ち帰りました」などといった不在通知の文章とともにURLが添付され、間違ってアクセスすると偽のサイトに誘導される仕組みとなっています。使用されているURLも、下記のように”sagawa”を含むものが使用されており、ユーザーが誤ってアクセスしてしまう要因のひとつとなっています。

http:// sagawa .XXX/
https://XXXX/ sagawa 

 

企業側の対処方法

今回、佐川急便を装った迷惑メールに見るように、企業が抱えるリスクのひとつが「第三者によるドメインネームの悪用」です。この対策の有効手段として「ドメイン運用ガイドラインの策定」があります。

国内支店、海外拠点や子会社など、担当者の判断によってドメインが取得されてしまうと「ハイフンの有無」「略称の使用方法」「TLD選定(支店が.comを使用する)」など、バラバラのドメインネームの使用がされてしまいます。このようにバラバラで、複数パターンのドメインネームが多く存在すると、第三者に悪用される確率も高まり、リスクが高まります。

また、ドメイン申請と承認のフローが存在しないことも問題です。自社として保護すべきドメインと活用していくドメインを選定し、『ドメイン運用ガイドライン』を決定することが重要です。決定後は『ドメイン運用ガイドライン』を元に、国内支店、海外拠点や子会社などから取得希望のドメインの申請を受け「承認」「否承認」していき、全体のドメインの把握を行っていきます。

また、『ドメイン運用ガイドライン』において、廃棄ルールの設定も重要です。廃棄したドメインが第三者により取得され悪用されてしまうケースもあるためです。

<廃棄したドメインが第三者に取得された事例>
●市の旧HPからカジノ誘導…偽観光サイト、第3者が取得悪用 愛媛・新居浜(2016年11月15日)
http://www.sankei.com/west/news/161115/wst1611150034-n1.html
●中高生が取得したドメイン名がアダルトなサイトになる日(2015年2月4日)
http://d.hatena.ne.jp/hanazukin/20150204/1423008998
●2012年衆院選落選候補の元公式サイトが順調にSEO業者等のサテライトサイトに化けつつある(2013年12月1日)
http://hatena.fut573.com/entry/2013/12/01/185446

 

何か起こってしまった際に、自社(グループ)所有ドメインがすぐに判別できることによる侵害対応の迅速さが企業側に求められているのです。

 

ユーザー側の対処方法

サイトに表示されるドメインネームを確認することが重要です。佐川急便の公式サイトは、「sagawa-exp.co.jp」を利用しています。@sagawa-exp.co.jp以外から来るメールは疑うくらいの感覚でいた方がいいでしょう。ドメインネームは取得されていなければ誰でも取得ができる点を理解し、「著名なブランド名が含まれたドメインネームは安全」と思いこまずにきちんとした手順で確認することが重要です。また、ドメインネームの契約者に関する氏名や連絡先などの情報を「whois」という誰もが参照できるデータベースに公開されているので、上手く活用することも手段の一つです。

昨年は銀行、カード会社を直接名乗るフィッシングが流行っていたようですが、今年は間接的に銀行やカード会社の支払いという形のフィッシングに変形しているようです。企業側、ユーザー側が適切な対処を取ることで未然に防げる被害もあるのです。


〈ライタープロフィール〉
中山 礼美(なかやま れいみ)

GMOブライツコンサルティング株式会社
IPソリューション部/メディア担当
consul@brights.jp

2011年に入社後営業サポート業務に携わり、2017年5月よりメディア担当者として、商標やドメインネームの業務を学びながら記事を発信。様々な業界のトレンドを意識した記事作りの難しさに奮闘中。趣味は食べるコト、プチプラでお得感の高いものを探すこと。