自身に届いた不審なメールをSNSなどで公開し、注意を呼びかける奇特な方がいらっしゃる。たいへんありがたいことだが、時折、公開してはいけない情報がその中に含まれていてハッとすることがある。コピペや画面の画像を投稿する際には、間違いのないよう十分確認していただきたい。
名前やメールアドレスなどの分かりやすい消し忘れもたまにあるが、多くは意味不明な文字列や番号の消し忘れだ。
本稿末の【参考記事】に示した『「当選メール」が本物のケースも――「偽メール」と「本物メール」の見分け方』では、偽物と勘違いして本物のギフトカードの番号を公開していた事例を紹介している。類似のものには、クレジットカードやポイントカードなどの会員カードの番号などもある。クレジットカードはさすがに慎重に扱われるようだが、会員カードになると気が緩むのか、たまに番号丸出しの写真の投稿を見かける。
会員番号と住所や電話番号などの登録情報を組み合わせると、Webサービスに勝手に登録でき、乗っ取られてしまうことがあるので注意したい。番号を埋め込んだバーコードやQRコードも同様、見落としがちなので注意が必要だ。マイナンバーカードのQRコードも、中身は個人番号そのものだったりする。
同じく参考記事として挙げた『KDDI装う「緊急速報」メールに注意――出会い系サイトへ誘導、URL公開は危険』では、メール記載のURLから送付先が特定される可能性について言及している。もう1つの参考記事『“安全認証”をすると代金券やコインをもらえると誘うフィッシングメールに注意』は、URLにエンコードされたメールアドレスが含まれていた事例だ。
URLに含まれる意味不明な文字列や番号は、送付先そのものだったり、送付先の情報と連携していたりすることがあるので、十分注意したい。公開する際には、以下の[謎の文字列]の部分に意味不明な文字列や番号が含まれていないかどうかチェックし、適宜処理していただきたい。
http://[謎の文字列].example.com/[謎の文字列]/[謎の文字列].html?[謎の文字列]
■今週見かけた危険な投稿――配送通知「謎の文字列」に詳細個人情報
出会い系の迷惑メールなどでは、リンクやリンク先でメールアドレスが分かってしまう程度で済むが、迷惑メールではなく本物のメールだった場合には、さらに詳細な情報が露呈してしまうこともある。本物のパスワードリセット通知のリンクなどは、公開してしまうと第三者に乗っ取られる深刻な事態になるかもしれない。
宅配便の配送通知を装う出会い系サイトの迷惑メールが多い中、数日前に本物の通知が投稿されている例を見かけた。荷物の番号は消されていたが、確認用のURLの末尾に「/[謎の文字列]」が残っていた。
宅配便会社では、荷物の追跡が行える便利なサービスを提供している。日時と配送拠点を表示するだけの簡易なものでも、状況確認用のリンク先で、送付元と送付先の大まかな場所が露呈してしまう。詳細な情報を表示するサービスでは、住所、氏名、電話番号といった、荷物に記載されている情報が全て確認できるものもある。さらに、配達日時の変更、届け先の変更などまでできるものもある。投稿されていた通知は、この全情報の閲覧から変更まで可能な至れり尽くせりのタイプだった。投稿された本人と連絡がとれ、数時間後には削除を見届けることができたが、ハラハラさせられる出来事だった。
コピペや画面の画像を投稿する際には、名前やメールアドレスなどはもちろん、「意味不明な文字列や番号」を消し忘れていないか、十分注意していただきたい。
(2017/06/23 ネットセキュリティニュース)
【参考記事:ネットセキュリティニュース】
・「当選メール」が本物のケースも――「偽メール」と「本物メール」の見分け方(2017/05/26)
・KDDI装う「緊急速報」メールに注意――出会い系サイトへ誘導、URL公開は危険(2017/05/15)
・“安全認証”をすると代金券やコインをもらえると誘うフィッシングメールに注意(2017/01/10)