emailの利用リテラシーのゆるい話

1. emailを安全に使うための心がけ
#nds49 @civic

2. お前だれよ
• @civic
• NDS主催
• Python, Java
• 主にサーバサイド。
• でもフロントも好きでわりとやってます

3. 今日の話

4. みなさんすでに
ご存知なコトかも知れません

5. SNSなんかで見かける
emailにまつわるモヤモヤ話
をつれづれなるままに

6. その１

7. #1 怪しいメールは
開いたら危険か？

8. 実家の父より

9. 父「怪しいメールだ！
削除しなきゃ！」

10. 父「削除しようと選択したら
開いてしまった・・・」

11. • 削除メールを選ぶために選択
• 選択すると開くのが一般的
ですよね

12. 危険なのか？
• テキストメール→安全
• 添付ファイル
• 実行可能なファイルは警告が出る
• 実行可能ファイルの偽装に注意
• HTMLメール
• スクリプト（埋め込みブラウザの安全性）
• 画像の埋め込み（危険というほどでは）

13. 脆弱性のあるOS,
メールソフトを使ってなければ
開いたぐらいでは
ただちに問題ではない
※積極的に開くことを推奨するものではない

14. で、よろしいでしょうか…？
@セキュリティ会社各位

15. その２

16. #2 そのメールの送信者は
信頼できるのか？

17. 「怪しい人からのメールは
削除してください 」

18. 父「おっこれは息子からのメールだ
から怪しくない！」
(PDFファイル ﾎﾟﾁﾎﾟﾁｰ!)

19. いつから
その息子が本物だと
錯覚していた？

20. PDFファイルと思ったのは、
PDFと同じアイコンをもった実行フ
ァイルRLOで拡張子は一見
.pdf

21. 怪しい人から?
• 送信者が信頼できるかどうか確認できる？
• From: civic（オレだよオレ）
• 「From: civic」が信頼できるか確認する前に、
そのcivicが本当にcivicか確認しなくてはならない

22. 銀行などは
• 電子署名付き電子メールなどで正当な送信者であるこ
とを証明している (S/MIME)

23. 余談 SMTP
• メール配信の仕組みに送信者は関係ない
• RCPTコマンド
• メールの配送先指定
• From、To、Cc、Bccは？
• メッセージエンベローブの中の話
• 手紙で言えば封筒の中の記述

24. オレオレ詐欺の場合の対策

25. いったん電話を切って
自分から相手に確認する
※相手が伝えてきた電話番号ではなく
自分が知っている方法で

26. メールの送信者を
確認する場合も同様

27. 別の手段で確認
• メールに頼らず自分から電話で確認
• メール記載のURLではなく、ググッて公式サイトに

28. 危ないパターン

29. 定期的に届くメール
• 「おっ今月分のアフィリエイト成果がAmazonギフト件
でいつもどおり届いた。クリックしてアカウントに登
録」
• そのメールは本物か
• ギフト券を登録しようと
思って違うサイトにいって
ないか
• →Amazonのサイトに自力でアクセスして登録する

30. 脆弱性おわび
• ○○で情報漏えい発覚→
• お詫びメール一斉送信 QUOカード500円進呈→
• QUOカードの取得のためにはここに登録してください
• そのメールは本物か？
• メールのリンク先は本当に○○か？
→〇〇に自力で行って登録ページを探す

31. 人気商品予約
• iPhone7予約開始！→
• 光の早さで予約完了！→
• SNSで予約完了の自慢報告
• （あいつのメールアドレスにフィッシングメール送っ
てみるか）
• 「予約最終確認のお知らせ」このメールのリンク先か
らAppleStoreにログインして内容をご確認ください
→自力でAppleStoreに行って確認

32. メールの送信者はあてにならない

33. まとめ

34. まとめ
• メールの添付ファイルはOSがかなりガードしている
• 警告を無視するな！
• 送信者が正当か疑う
• メールの送信者は手紙の差出人程度の意味
• 別の手段で確認