電子メールのセキュリティ対策について (追加記事です)

電子メールのセキュリティ対策について

上の記事に電子メールのセキュリティ対策について書きました。トラッキングピクセルだのトラッキングリンクなどを埋め込んだメールの場合、それを読んだかどうかが発信者に通知され、開いた人間の個人情報も盗める可能性があるというお話をしました。相変わらずスパムメールは毎日届いています。スパムメールについて参考になるサイトは以下です。
日本データ通信協会 迷惑メール相談センター
https://www.dekyo.or.jp/soudan/index.html
こちらには迷惑メールについてのパンフレットもあります。
迷惑メール対策BOOK 『撃退!迷惑メール』のご紹介
最近届いたスパムメールのタイトルをいくつか記しておきます。
Your package is waiting for you   DHL Express
【JR西日本:Club J-WEST】お客様への重要なお知らせです。
www.jr-odekake.net:パスワード変更の連絡
三越伊勢丹オンラインストア 【公式】 【重要なお知らせ】エムアイカードカードご利用確認のお願い
あなたのアカウントは停止されました、情報を更新してください amazon,co.jp
“VISA JAPAN【最終警告】VISAカード からの緊急の連絡
申し訳ありませんが、ETCアカウントのセキュリティを確認してください
ヨドバシドットコム:「お客様情報」パスワード変更の連絡
【重要】ビューカードご利用確認
【JR西日本:Club J-WEST】お客様への重要なお知らせです。
一番上のDHL Expressと称するメールはまだ上の日本データ通信協会のサイトに出ていませんが、他のは上のサイトにもリストされています。メールの内容も、「最終警告」だの、「残念ながら」だの日本の会社なら絶対使わない日本語の使い方をしているのが多いし、発信元をメールソフトで眺めるとほとんどが中国、香港、上海などで詐欺メールだと見分けるのは比較的簡単です。メールの迷惑メールフィルタでほとんどはスパムと判断されます。

ただ最近は、日本の会社の発信した文面をそっくり頂いて、リンクだけを詐欺リンクにおきかえたものがちらほら見られます。上にあるJRのおでかけネットやj-westのメールはその代表例で、私も騙されそうになりました。内容は、サービスをリニューアルしたので、最後にログインした日より起算して2年以上ログインが確認できないアカウントは自動退会処理になりますというものでした。一度ログインしてもらえば退会処理しないと書いてあって、ログインのリンクがはってあります。コロナでJRの利用もなかったので仕方ないなと思いましたが、自動退会してもまた登録すればいいわけで、ログインをあせってすることもないと思い、何もしなかったのです。最近知ったのですがこれはおでかけネットなどが送っているメールの文章を利用した、詐欺メールでした。https://secure.okbiz.okwave.jp/eki-net/faq/show/3422?category_id=106&site_domain=default
注意しなくてはいけませんね。メールからリンクをたどるのではなく、自分で公式サイトにいってログインするなどの注意が必要ですね。
(これを書いている最中に地震がありました。福岡はしばらくぐらぐら揺れただけでした。熊本が震源だそうです。皆さん被害がなかったでしょうか。)

twitterのどうしようもない仕様の回避法(5/30追記あり)

以前、iPhoneのブラウザをBraveにかえてtwitterをみると、とても快適だと言う記事を書きました。TwitterはJavaScriptを頻繁に変更して、twitterアプリを導入させようと変質狂的に改悪を続けているようにみうけられます。今まで快適にログインなしでみられていたブラウザが突然twitter社からのメッセージが必ずはさまれるようになってスムーズに見られなくなるという経験を何度もしています。今やiPhoneでの閲覧は快適とはいえず閲覧が不快になってきました。(私のiPhoneは古いiOSで、私のiPadとちがって最新のiOSではありません。最新版のiOS搭載のiPhoneで同じように不快かどうかは不明です)そこで対抗策を探したので報告します。

PC版のFirefoxやBrave、そして最新版のiPadでは、まだなんとかみられるようですのでまずその方法を報告します。これも現時点での対策なので、そのうちにだめになるかもしれません。古いiPhoneでの閲覧対策は最後にまとめておきます。

PCのFirefoxでのtwitterの見方を書きます。
アドレスを入力してtwitterを閲覧しはじめると以下の画面になります。例として九州大学の公式twitterアカウントをみてみましょう。

下の方へスクロールしていって、「おすすめトピック」をすぎると、
以下の画面がでてこれを消すことができません。
再読み込みをしてもまた同じことでどうしようもないのですが、実はこの画面の 「登録する」をクリックすると画面が替わって閉じるボタンxが左上に表示された画面になるので閉じれば、下の方を続いて閲覧できます。
PC版のBraveの場合は、おすすめトピックをすぎると下の画面になり、
閉じるボタンがはじめからあるので(iPad版Braveにはないので、Firefoxと同じ対処が必要。iPad版のSafariでは閉じるボタンがありました)この画面を閉じれば閲覧を継続できます。

さて問題の古いiPhoneですが、まず新しいuserをみようとすると、必ず毎回毎回、「Twitterアプリをおすすめします」というメッセージがでて、「今はしない」を押さなくてはならないように仕様が変更されてしまいました。そして「おすすめトピック」をすぎると、必ず「‥‥さんのツイートをさらに表示」というアプリの使用を促す画面がでて、閉じるとまたトップ画面にもどってしまいます。今度は「おすすめトピック」以降のツイートもみられますが‥‥。毎回二度手間が必要になったので閲覧がストレスフルになりました。その対策ですが‥‥。

(5/30追記:古いiPhoneのBraveブラウザで以前の記事のようにキャッシュその他を削除すると、最初の毎回毎回でていた表示はでなくなりました。Brave shieldsの全体のデフォルト設定の中で、閲覧履歴とキャッシュを消去するとうまくいくようです。「おすすめトピック」を過ぎるところのいやがらせはまだ続いているので、一度手間になりました。)

根本的な対策はtwitter.comではなくて、nitterを使うことです。
nitterはtwitterのフロントエンドで、JavaScriptを使わないので、twitterが収集している個人情報(IPアドレスとかブラウザのフィンガープリンティングとか)をtwitterに渡すことなく閲覧が可能です。詳しくはこちらをみてください。
https://gigazine.net/news/20200309-nitter/
https://github.com/zedeus/nitter
この後者のほうのサイトに掲載されているインスタンスを使えば、twitterを閲覧することができます。上のtwitterの煩わしい仕様はすべて消え去ります。nitterの公式サイト、nitter.netを使うのでよいと思います。つながりにくい時は、このサイトにあるinstancesのどれかを使ってみてください。https://github.com/zedeus/nitter/wiki/Instances#official

閲覧方法は以下のとおりです。
https://twitter.com/KyushuUniv_JPをnitterで見たいときは、twitter.comの部分を上のリストのインスタンスの一つに変えるだけでよいのです。たとえばnitter.netに変えるだけです。
https://nitter.net/KyushuUniv_JP
nitterはダークモードでサイトを表示するので背景が黒いのがいやなら、
https://nitter.net/KyushuUniv_JP?theme=Twitterのようにurlの後に?theme=Twitterを付ければOKです。ブックマークに?theme=Twitterを付けたものを登録しておけばもとのtwitterと同じようにあかるい背景で閲覧できます。(5/30追記:ブラウザでクッキーを受け入れる設定にしておけば、nitterの画面のトップのNが表示されている行の右端の歯車マークをクリックして設定画面をひらいて、DisplayのThemeをプルダウンからTwitterに変えて、一番下にあるSave Preferencesを押しておけば、れば以降はダークモードでなくなります。)

電子メールのセキュリティ対策について

今日は電子メールのセキュリティ対策について紹介します。
毎日、スパムメールがいっぱい届きます。アマゾンだのJCBカード、メルカリ、三井カード、auなどをかたるメールが多いです。たいていは「残念ながら」などという業務メールではありえない日本語で、アカウントの利用停止を解除してほしかったらすぐにリンクをクリックして手続きをしてくださいというような内容になっています。発信元をみると香港や中国とアメリカ合衆国のアドレスからのものが多いです。こうした電子メールが開封されたかどうか、開封日時や開封した場所などをスパム業者が知る方法があるそうです。これに対する対策ですが、まずhtmlメールをhtml形式では絶対開かないこと、メールは必ずテキストモードでのみ開くことです。
代表的な悪徳業者の手口を二つ紹介します。
1)悪徳業者の手口にトラッキングピクセルをメールに埋め込むという方法があります。これはメールに1ピクセルの透明な画像を添付しておき、そのメールをhtml形式で表示した時にその犯人たちのコンピュータに犯人たちが埋め込んだ画像をダウンロードするためのアクセスがあることから、画像がいつ、どこからダウンロードされたかがわかるという手法です。メールを開いた日時やIPアドレス、位置情報などがわかるわけで、スパムメールをありとあらゆるメールアドレスに一斉に送っておいて、開いたメールアドレスの持ち主の情報を持ち主に気付かれないままに取得することができます。これは悪徳業者だけでなく、一般にも使われている場合もあるので注意が必要です。送ったメールが開封されたかどうかを知ることができるので、マーケッティング調査に利用されたり、そんなメールは開けていないと言うウソを見破るために意図的にトラッキングピクセルがしこまれる場合もあります。トラッキングピクセルを埋め込むサービスをしている業者もあります。

ピクセルトラッキングは、AppleのiOS 15で AppleMailを利用する場合は自動的にブロックされて無効になるようです。またGmailでも対策がとられたようで、htmlの画像ファイルはGoogleのサーバーにダウンロードされて、利用者はそちらにアクセスするようになったので、業者が知ることができるのはGoogleのサーバーに画像がダウンロードされた日時とGoogleサーバーの位置だけになったようです。いろんなメールソフトでhtmlファイルを開くときに画像を自動的にダウンロードしない設定がありますので調べてみてください。ちょっと古い記事ですがこちらの記事が参考になりそうです。https://gigazine.net/news/20210807-stop-email-pixel-trackers/

2)トラッキングリンクの利用も良く行われる手法だそうです。
トラッキングピクセルの他に、トラッキングリンクというのを入れてあるメールもあります。これはリンクのurlアドレスの?(クエスチョン)、&(アンパサンド)、;(セミコロン)以降の部分に受信者固有のコードを記述して送りつける手法です。メールのリンクをクリックすると、だれがこのリンクをクリックしたかが、メールに固有のコードによって業者にわかるという仕組みです。アクセスしてきているディバイスとかもわかるそうで、何度も業者が送り付けてくるリンクをクリックしていると、クリックしている人のプロファイリングが始まって、その結果は売り出されることもあるそうです。こうした怪しいリンクは、リンクを選択して右クリックでクリップボードにコピーして、テキストエディタに貼り付け、?(クエスチョン)、&(アンパサンド)、;(セミコロン)以降のパラメータを削除したものをブラウザに貼り付けて利用することが推奨されています。しかしコードが埋め込まれているように見えない普通のアドレスを生成して市場調査に使っている業者もいるので、心配な人は絶対メールのリンクをクリックしないようにするのがベストです。代わりに送信業者の名前をGoogleなどの検索エンジンで検索して、検索結果に表示されるリンクをクリックするようにするのが安全です。今回は私がとっているメールのセキュリティ対策を二つほど紹介しました。メールに記載されているリンクを不用意にクリックするとプライバシーが保たれない理由の一端の紹介でした。