読者です 読者をやめる 読者になる 読者になる

厚生労働省が配信するメールがフッシングや成りすましを助長する。

 

厚生労働省には定期的にメールを配信するサービスがあり、メールアドレスを登録していると、ちょくちょく(というかほぼ毎日)メールが配信されてくる。

わざわざウェブサイトにアクセスして情報を見ないで済むし、プッシュ配信してくれるから便利なのだが、メール内に記載しているリンクに不満がある。



以下のものは、7月6日に配信されてきた『厚労省人事労務マガジン』の内容の一部。

 

 夏季における年次有給休暇取得促進リーフレット
「プラスワン休暇」で、休み方を変えよう。働き方を変えよう。
http://krs.bz/roumu/c?c=12534&m=37846&v=852caa46


私が不満を感じているのはリンクの部分。厚生労働省の公式ウェブサイトのドメインは「www.mhlw.go.jp」というもの。しかし、上記のドメインは「krs.bz」という得体のしれないドメインを使ったリンク。

このリンクをクリックすると、厚生労働省の公式ウェブサイトにアクセスするので、フィッシングではないし、アクセス先は成りすましサイトでもないのだが、なぜ公式ドメインのリンクを使わずに、ヘンテコなURL経由でリンクするのか。

上記のリンク先にアクセスすると、「http://www.mhlw.go.jp/new-info/kobetu/roudou/gyousei/kinrou/150609-01.html」というアドレスのページに移動する。www.mhlw.go.jpから始まっているので、厚生労働省の公式ウェブサイトだと分かる。

 

しかし、問題は、なぜ最初から公式ウェブサイトのリンクをメールに記載しないのかという点だ。

リンクを並べてみると、

http://krs.bz/roumu/c?c=12534&m=37846&v=852caa46

http://www.mhlw.go.jp/new-info/kobetu/roudou/gyousei/kinrou/150609-01.html

(どちらにアクセスしても同じページが表示される)


後者の公式ドメインのリンクのほうが若干ながら長いけれども、あえて別アドレスから迂回アクセスさせるほど長くはない。これをそのままメールに記載しても何ら支障ないだろう。

初めから後者のアドレスを配信メールに記載すればいいのだが、おそらく前者のようなリンクを使っているのは、クリック数をカウントするためだろうと予想する。他にはURLを短縮する効果も狙っているかと思う。

メールを配信するわけだから、チャンと読まれているか、リンク先にアクセスして見てくれているか、そういうデータを取りたい気持ちは分かるし、実際に配信データを取るべきだと思う。

しかし、データを取るにしても方法が良くないんじゃないか。




フィッシングだの成りすましだのと問題にされているのに、省庁の配信メールで公式ドメイン以外のリンクを使うと、悪意のあるサイトに対する警戒感が薄れるのではないか。

http://krs.bz/roumu/c?c=12534&m=37846&v=852caa46

このアドレスを見て、これが厚生労働省のウェブサイトにリンクされていると分かる人はどれぐらいいるのか。おそらくこのリンクを生成して、メールに掲載した人ぐらいだろう。

 

これ以外に、他にも例がある。

『厚生労働省 新着情報配信サービス』というメール配信でも、公式ドメインを変形させて使っている。


在宅医療の推進について
http://wwwhaisin.mhlw.go.jp/mhlw/C/?c=222990



これはメール配信された内容の一部だが、www.mhlw.go.jp ではなく、 wwwhaisin.mhlw.go.jpというドメインになっている。

先ほどの krs.bz に比べたらマシだが、サブドメインを www ではなく wwwhaisin に変えてリンクを生成している。

「メイン部分のドメインは公式と同じだからいいだろう」という判断も分かるが、なぜあえてサブドメインを変化させるのか。



アクセスログを収集したいならば、まずドメインの本体、「www.mhlw.go.jp」の部分を変えずに使うべき。ドメイン本体が変わっていると、公式ウェブサイトかどうかが判別しにくくなるし、リンクをクリックしないと内容が分からなくなる。

この手のリンクにメールの受信者が慣れてしまうと、省庁のメールを装って得体のしれないリンクを送りつけられたら、警戒せずにクリックしてしまう。




http://www.mhlw.go.jp/new-info/kobetu/roudou/gyousei/kinrou/150609-01.html

もし、このリンクのアクセスログを取りたいならば、このリンクの末尾に解析用のクエリを付けるのが良い。


例えば、

http://www.mhlw.go.jp/new-info/kobetu/roudou/gyousei/kinrou/150609-01.html?utm_source=news&utm_medium=mail

という感じで、末尾に色々と解析用のタグを付ける。ここではGoogle Analyticsの例を使ったが、他の解析サービスでもいいし、政府用のGoogle Apps for Government経由でGoogle Analyticsを使ってもいい。


厚生労働省が配信メールのアクセスログを取るならば、まずは掲載するリンクで「www.mhlw.go.jp」を必ず使うこと。次に、リンクの末尾に解析用のタグを付けること。

この2点を守ってリンクを配信メールに記載しないと、受信者がフィッシングや成りすましの被害に合う可能性を高めてしまう。


得体のしれないドメインを使っても、URLを短縮する効果はたかが知れているし、メールを受信する人のセキュリティに対する感度を鈍らせるので良いことはない。

 

 

 

山口正博 社会保険労務士事務所
大阪府大東市灰塚6-3-24
E-mail : mail@ymsro.com

© 社会保険労務士 山口正博事務所