セキュリティ組織の米SANS Instituteは2008年2月25日、公式ブログにおいて、企業が顧客にメールを送る際の注意点を、具体例を挙げて解説した。不用意なメールは、フィッシング詐欺などに間違われる恐れがあるからだ。
SANSでは、顧客あてのメール送信を外部の業者に委託している企業や組織は、十分注意する必要があるとしている。メールの送信者アドレスや、メールで誘導するWebサイトのドメイン名が、企業/組織のものではなく業者のものだと、顧客はフィッシング詐欺と区別が付かないからだ。
実際、そういったメールを複数確認しているという。SANSのスタッフが2008年2月初めに受け取ったメールもその一つ。米国の鉄道会社(公社)である「アムトラック(Amtrak)」が送ったとするもの。同社のWebサイト「Amtrak.com」の登録者に向けて、登録情報の確認を促すメールだ(図)。
ところが、メールの送信者アドレスや、メールから誘導されるサイトのアドレスは、「amtrak.com」ドメインのものではない。いずれも、「amtrak.xxxx.com(xxxxは伏字)」という、いかにも怪しいドメイン。実際には正規のメールであり、アムトラックが外部の業者に委託したものだが、一般の顧客には、典型的なフィッシング詐欺に思える。
SANSでは、メールの送信を業者に委託することや、リンクのクリック率などを調べるために業者のサイトにいったん誘導することは、マーケティング戦略としては適切かもしれないが、ユーザーのログオンを要求するような場合には、賢い方法ではないだろうとしている。
加えて、今回のようにユーザーのログオンや個人情報の入力などを要求する場合には、(1)メールにはリンクを含めないで、ブックマークなどからアクセスしてもらう、(2)リンクを含める場合には、その飛び先のURLを、その企業のものであることが明白なWebページに設定する、(3)そういったメールが送られることを事前に伝えるとともに、そのメールの正当性を検証する方法を知らせておく――ことなどを勧めている。
