verifyメールは有害ではないかとゆー仮説

githubから、メールアドレスをverifyしろとゆーメールが来た。

示されたURLをクリックすると、「mails」のところにアラートマークが出ている。どうもこれらしい。

「Verify」とゆーボタンがあるので押す。アラートマークはそのままなので、おそらくverifyのためのメールが来て、そこに書かれたURLをクリックすると… とゆー類の手続きがあるのだろう。とは言え、1時間くらい経過しているのに、まだ何の音沙汰もない。

「メールでverify」の類のことをした直後は、メールのチェックが頻繁になる。届いてなければ、「spamに落ちたかなー」とか思いながらspamフォルダまで覗いたりする。普段見掛けないメールが来るだろうから、ちょっとそれっぽいメールはspamなような気がするものまでチェックしたりする。

つまりどういうことになるかと言えば、

spamやフィッシングへの警戒レベルが下がる

ということになる。普段「spam乙」とか思ってるものまで開いてしまうし、それっぽい送信者であればフィッシングメールまでチェックするだろう。

もちろん、用心していればそういったものであっても、せいぜい「時間のムダ」だけで終わることだ。不用意にメールは開かない、フィッシングは警戒する… 当たり前のことである。でも、メールの送信を依頼したのに届かないとなると、その閾値がちょっとだけ下がる。うっかりフィッシングに釣られてしまわないとも限らない。

仮に私がgithubあたりでフィッシングやるとしたら、

  1. githubのアカウントを取る(正規なものでいい)
  2. 何らかのアクションを要求するメールを待つ(別にターゲットはgithubに限らないから待つのもそんなに苦ではない)
  3. アクションを要求するメールが来たらアクションをして、その時に来るメールを保管
  4. 2,3を元にフィッシングメールを作る

ってことをやると思う。多分闇雲にフィッシングするよりも、ずっと成功率は上がる。PayPalなんて、しょっちゅうそんなメールが来るものだから、どれが本物のメールなのか、とっさにわからなかったりする。まぁ、リンク先を見て判断するのではあるけど。

まー、そんなわけで「verifyメール」の類は、実はちょっと危険なものなんではないかなーとゆー気がしている。そもそも、「verifyしろよメール」を受け取った時点で、そのメアドは十分信頼出来るメールだと思うのだが。注文書の類を一方的にメールで送って来るのとは違って、「何らかの認証のための手続き」の一部としてメールを使うことは、もうちょっと注意した方が良いのではないか。

PS.

問題のメールは案の定「一次spamフォルダ」で発見された。ここで落ちるのは、発信者や形式がいかにもspamなものだけなんだが…

Yahoo Facebook Twitter Digg FriendFeed Delicious Google Translate
This entry was posted on8月 7th, 2012 at 13:00:48. You can follow any responses to this entry through the RSS 2.0. Responses are currently closed, but you can Trackback..

Comments are closed.

  • 私について

    ただのプログラマです、ハッカーではありません。

    秋葉で暮し秋葉で仕事してますが、秋葉系は嫌いです。物事を冷静に分析することは好きですが、ニヒリストは嫌いです。

    秋葉でちっこい会社をやってます。 こーゆーことがお仕事です。

    詳しいことは、自己紹介のページでも見て下さい。また、mixiの方でもいろいろわかるかも知れません。twitterは@ogochanですが、たいしたこと言ってません。近頃はShorplug内の別館で日記書いたりもしてます。だいたいここのコピーだったりしますが、ログインするとコメントがつけられます。

    日経ITProに連載(生越昌己のオープンソースGTD)を書いています。「ちゃんと書いた文章」が読みたい人は、そっちを読む方がいいと思います。

  • このページについて

    ここは私の雑文の置き場です。WordPressを使っていますが、いわゆるblogのつもりで書いているわけではありません。「覗き見のできるチラ裏」くらいの意味しかありません。

    もしかしたら有用なことがあるかも知れません。あるいはむかつくことも書いてあるかもしれません。それらはみな「そんなものだ」と思っておくに留めましょう。

    コメントを書くのは構いませんが、「反論」の類はよそでやって下さい。同意する気のない人達と議論する気は全くありませんので、議論したければよそで勝手にやって下さい。

    と言っても、「読むな」「広めるな」というわけでもありません。リンク、ブクマの類は御自由に。

  • カテゴリ

  • 過去の記事

  • メタ情報