• とにかくメールの内容をよく吟味することです。
• メールを送ってきている相手が有名ベンダーや友人の場合でも、それだけでうかつに添付ファイルを開くことのないようにご注意下さい。不審な点があったらメールごと削除し、他へ転送しないようにして下さい。
• ソフトウェア・ハードウェアのメーカ及びベンダ、プロバイダのサポート窓口から、いきなり電子メールでプログラムを送ることは通常ありません。また、メールでパスワードを問い合わせることもありません。従って、そのようなものはまず偽の情報であると思われます。
• ウイルスに関する偽の情報に関しては、ＩＰＡ/ISECのページの他、ウイルス対策ソフトウェアのベンダー各社のページでも紹介されていますので、ご確認下さい。

参考ページ：

• 「ウイルス対策のトップページ」
• 「sulfnbk.exeに関するデマメール情報」
• 「VirusHoaxes（偽ウイルス）のデマメールに関する情報」
• 「メール機能を悪用する主なウイルス一覧」

ベンダーやＩＳＰ、ＡＳＰなどの管理者やサポート窓口を装って

• 「あなたのマシンをもっと速くするために…」

  ルートディレクトリやシステムディレクトリのファイルをすべて削除するコマンドを起動ファイルに挿入することを推奨する。

• 「セキュリティパッチです」
  「ウイルス対策ソフトを送ります」

  セキュリティ関係のパッチやワクチンソフトであると偽ってウイルスやトロイの木馬(※注)を送り付ける。

  • 参考ページ：
    「有名メーカーのサポートセンター等を騙った偽メールに注意」
• 「クラッシュがあったのでパスワードを教えて」

  パスワードその他の情報を聞き出そう(メールで送らせよう)とするものである。

友人・知人を装って

• 「ユーティリティ(もしくはスクリーンセーバ)を作ったので送ります」

  ウイルスやトロイの木馬(^※注)を添付して送る。

• 「面白いページ見つけました」

  アクセスすると情報漏洩が起こるなどの悪意のあるページを見ることを推奨する。
  ブラウザのセキュリティレベルが低い状態で当該ページにアクセスすると以下のようなことが起こる。

  • 情報漏洩
  • マシンのフリーズやクラッシュ

ソフトウェア販売会社等を装って

• 「購入したソフトウェアの代金が支払われていない」

  連絡先に海外の情報料課金を行う電話番号(ＮＴＴのダイヤルＱ２に相当)を指定し、そこへ電話を掛けさせようとする。

• 「アダルトサイトへのアクセスの支払いが行われていない」

  偽の督促状を送り付けて支払いを誘うもの。
  「○日以内に支払わないと会社に押しかける。
  その際には手数料○万円を上乗せして請求する。」といった文面が含まれている。
  １週間無料といった謳い文句のサイトへのユーザ登録により請求が来るケースもある。

いわゆるダイレクトメール

• 「以下のようにすれば○○万円儲かります。絶対確実、合法です」

  マルチ(まがい)商法への誘い。
  騙されて他の人を誘うと誘った当人が犯罪者となる可能性がある。

チェーンメール(チェーンレター)

メールの受信者にメールを複数転送するように促すようなメールである。ネットワークに不要な負荷をかけることとなるため、その送付は「ネチケット」に反するといわれている。 他へは転送しないこと。
もし自分がチェーンメールを送ってしまった(転送してしまった)場合には、「チェーンメール化しているのでストップして欲しい」旨を伝えようとしてもその情報そのものがチェーンメール化してしまうことがあるので、慎重に対応すること。 連絡するならメール以外の手段によるべきである。

• ウイルスに関する偽の情報(GoodTimes等)

  駆除のソフトであるとしてウイルスが添付されている場合もある。

  • 参考ページ：
    「VirusHoaxes（偽ウイルス）のデマメールに関する情報 」
• 「小学校などの生徒や先生が色々な国の人からのメールを求めています」

  「風船に手紙を付けて飛ばす」の電子版を行おうとして大量のメールが学校宛て届き収集がつかなくなったケースがある。

• 「ギネスブックへの掲載を狙って○○を行っています」
  「難病の人の手術を支援するために寄付等を求めています」
  「○○を集めると車椅子(等の品物)が貰えます。○○へ送って下さい。」

  種々のボランティアを求めるようなものであるが、偽の情報であるか、古い情報(既に終了している等)であることが多い。 たとえ情報が正確なものであってもメールという伝達手段をとるべきではない。

• 「私は○月○日に死亡しています。同じメールを○日以内に○人の人に送らないと…」
  「○○の犯人を捜しています。止めればあなたが犯人であると認識します。」

  電子版不幸の手紙である。

  「メールを何人に回したかわかります」といった文言が含まれていることがあるが、単なるデマ(そのようなことを知る手段はない)であり、不安を煽っているだけである。

その他の被害

• W32/BadtransやW32/Hybrisのようなウイルスによるメールの送付
  • 参考ページ：
    「メール機能を悪用する主なウイルス一覧」
    「メールの添付ファイルの取り扱い５つの心得」

送信側の注意

上記のそれぞれの例のようなメールを送信(転送)してしまうと、状況によっては犯罪となり、また、迷惑行為としてマナーや技術を疑われ、受信者との信頼関係を損なう元となりかねない。

• 被害に遭わないための用心は、加害者にならない(他人に被害を及ぼさない)ための用心でもある。
• 単なる好奇心・悪戯心からの行為であっても、結果として犯罪となることがある。

  「知らなかった、そんなことになるとは思わなかった」は通用しない。

• 見知らぬ相手にメールを出す際の心得 基本的に、受信者の望まないメール＝迷惑メールである。

  信頼に足るメールであるとみなされなければ、即ごみ箱行きの扱いを受ける。
  メール中に明記できないような方法で入手したメールアドレスは宣伝には有効でない場合が多い。

メーリングリストやメールマガジンの運用に関して

メーリングリストやメールマガジンにおいては、運用形態によっては、 いわゆるピンポンメールが飛び交ったり、 ウイルスのばらまきが起こるなどの事故が発生する可能性がある。
運用管理者もしくは発行者は下記のような部分に注意して設定を実施すること。

• メールの発信は誰が実行できるのか

  メールマガジンであれば発行者(運用者)のみが発信できる状態のはずである。 メーリングリストの場合、メーリングリストに参加しているメンバのみが送信できる場合と、誰でも送信できる場合が考えられる。 さらに、いずれの場合も、メーリングリスト宛てに送られたメールはそのまま送信されるのか、管理者が一旦受け取って何らかのチェックを行なった後あらためて送信するのかといったことが考えられる。

• 返信の宛先はどこか

  返信の宛先がメーリングリストになっていると便利であるが、自動返信を行なっているメンバがいるとピンポンが発生する可能性がある。

• エラーの宛先はどこか

  エラーの宛先は通常管理者(運用者)になっているはずであるが、メーリングリスト宛てになっていると、宛先のアドレスが存在しない場合などにピンポンが発生する可能性がある。プライバシ保護やspamメール送信への配慮としては、下記も要注意である。なお、このような指示は、通常、メーリングリストの本体とは別のアドレスにコマンドのメールを送付して実施するようになっているので、その旨のメンバへの周知も必要である。

• 登録・解除の際の手続き

  通常、メーリングリスト本体とは別の宛先にメールを出すことにより行われる。自動登録、確認のメールが届く、管理者が手動で登録するといった運用が考えられる。

• メンバ情報やバックナンバー等の情報の取得

  メーリングリストのツールによっては、メンバの登録アドレスや自己紹介などの情報、バックナンバー等が得られるようになっているものがある。 登録メンバのみ可能、登録メンバでも各自のIDとパスワードを連絡すれば可能、など、いくつかの運用パターンが考えられる。

  ※トロイの木馬：見かけ上もしくはユーザが期待する動作とは異なる動作をするプログラム。ここでは、ユーティリティ等のプログラムと称して送付されてくるが、実行するとパスワード等の情報の漏洩・ファイルの破壊・侵入や情報漏洩のための裏口作成などの動作を行うものを指す。

IPA 情報セキュリティ 安心相談窓口
メールについて相談したい場合は、次のページを参照ください。
http://www.ipa.go.jp/security/anshin/