日経系のメールマガジンで、フィッシングメールのfromを偽装する手口について書かれていた。
一般的なメールクライアントソフトでの送信元偽装は確かに難しいかも知れないが、フィッシングメールを送るような詐欺集団がいちいちメールクライアントソフトでメールを送るようなようなことをするわけがない。
このメールマガジンはITに詳しくない中小企業に向けてのものだということは、容易に想像できる。
簡単なスクリプト程度のプログラムで、名簿屋から購入した送信先リストに対して、送信元を偽装したメールを一気に送信しているに決まっている。
これはAmazonのアカウントから送信されたから大丈夫なんて考える経営者が今でも少なからずいるから、こんな送信元偽装メールが大量に送られる。
なので、メールの送信サーバが送信元のアカウントと一致していることを証明するためのシグネチャーが付いていることが重要なのだ。
そうなれば、本当にアカウントが乗っ取られて不正メールの発信踏み台と化しているものに対してサーバー管理者は適切に対処できるようになる。
フィッシングメールに騙されないようにするよりも、それを受け取らないという選択発想が必要だ。