日曜日, 8月 05, 2012

情報リテラシーを向上させるには

 前回、こう書いた。
 「spf=pass」「dkim=pass」の表示に安心してしまう癖が付くのはかえって危険である。なりすましメールにだまされないためには、送信ドメイン認証の普及よりも、偽情報を見破る情報リテラシーをみんなが持つことの方が重要である。
これに対しては、「個々人の情報リテラシーに頼るには限界がある」という反論があるだろう。しかし私は、「インターネットの危険性をよく知らない素人さんの情報リテラシーを向上させるには、プロがそれぞれの立場でできることがある」と主張したい。
 私はかつて、勤務先のポストマスターを務めていた。2000年に当社のドメインをかたったスパムが発生し、世界からたくさんの苦情メールが殺到した。私はすべてに返事を書いた。「その送信者アドレスは偽造です。当社はスパムを送信していません。そのReceivedヘッダが証拠です」。2001年以降には、当社のドメインをかたったスパムが相変わらず発生していたにもかかわらず、苦情は一件も来なくなった。2000年中に世界中のスパム被害者が、スパムの送信者アドレスを真に受けてはならないと知ったのである。つまり、その点において情報リテラシーが向上したということである。
 自社からのダイレクトメールを受信する顧客がなりすましメールにだまされないようにしたいと思う企業は、次のようにするとよい。
 ダイレクトメールに時折注意喚起を記載する。
なりすましメールにご注意を!必ずお読みください。
http://www.***.co.jp/narisumashi-gochuui.html
 そして、ウェブページでは、Receivedヘッダの読み方を説明するとともに、以下のように記載する。
ご注意
●弊社からは、電子メールでパスワードの変更をお願いすることはございません。
●弊社からのご案内メールにファイルを添付することはございません。
●弊社からのご案内メールでは、 www.***.co.jp 以外のウェブサイトのURLを記載することはございません。
●弊社の業務に関して他社(関連会社等)からご案内メールを差し上げることはございません。
●・・・
 不審に思われましたら、
●弊社を名乗るメールの差出人アドレスが弊社のドメイン ***.co.jp であるかどうかをご確認ください(紛らわしいドメインである場合もあり得ます)。別のドメインであれば、なりすましメールと考えられます。
●Receivedヘッダを見て、お客様のドメインのメールサーバへ送信した弊社のメールサーバが dm数字.***.co.jp であるかどうかをご確認ください。別のメールサーバ名であれば、なりすましメールと考えられます。
 ご不明の点があれば、下記のお問い合わせフォームからお問い合わせください。
https://www.***.co.jp/cgi-bin/otoiawase.cgi
 顧客にこのように説明すれば、顧客は、自サイトでSPFチェックやDKIMチェックを行っていなくても、また、SPFやDKIMでチェックアウトできないなりすましメールであっても見破る情報リテラシーを身に付けることができるだろう。

土曜日, 8月 04, 2012

送信ドメイン認証は誰にとって有益か

 送信ドメイン認証は、スパム(迷惑メール)対策という言葉と共に語られている。だから、かつて私は、送信ドメイン認証はスパム対策の一つだと思っていた。今にして思えば恥ずかしい間違いであった。
 送信ドメイン認証は、スパムのうちの一部にすぎないなりすましメール(単に実在の送信ドメインをかたっているスパムという意味でなく、特定の組織や個人をかたって受信者をだまそうとするメール)に対する対抗策である。ボットから大量に送信されているスパムの受信を劇的に減らせるわけではない。ドメインの詐称ができなくなればスパムは少しは減るかもしれないが、使い捨てドメインを使ったスパムは送信ドメイン認証をパスできてしまう。S25R方式やグレイリスティングほどにはスパムの受信を減らすことはできない。送信ドメイン認証を導入しても、相変わらずたくさんのスパムが受信される。ただ、まともに見えるメールが実はなりすましメールかもしれないと判断できる手段が得られるだけのことである。
 送信ドメイン認証は無益だとは言えない。たとえば、私が契約しているSBIネット銀行(ドメインはnetbk.co.jp)からのダイレクトメールのメールヘッダにはDKIMシグネチャが入っている。受信側サイトがDKIMに対応していれば、SBIネット銀行をかたる偽メールを判別することができる。つまり、netbk.co.jpからのメールのAuthentication-Resultsヘッダにいつもは「dkim=pass」と表示されるのに、ある時「dkim=fail」と表示されたら、「これはおかしい」と気付くことができる。
 銀行やクレジットカード会社の顧客が偽メールにだまされたら、大きな金銭的被害をこうむるおそれがある。だから、メッセージの正当性を検証できる手段を受信者に提供することは、顧客を詐欺の被害から守るために意味のあることだと言える。
 いや、これで顧客がだまされなくなるわけではない。悪者がたとえばnetbk-service.jpのようなドメインを取得してDKIMに対応し、SBIネット銀行の関連会社をかたってフィッシング詐欺メールを送信したら、やはりだまされる人はいるかもしれない。これはSBIネット銀行としてはいかんともしがたい。しかしそれでも、同社は「なりすましメールによる被害から顧客を守るために、当社は最善の努力をしている」と主張できる。つまり、なりすましメールを判別する技術があるにもかかわらず使っていなかった場合よりも、同社が責任を問われるのを回避しやすい。これは同社にとってのメリットである。
 では、送信ドメイン認証にはすべてのサイトが対応すべきだろうか。私は、送信側として送信ドメイン認証に対応するのは、名をかたられて自サイトが責任を問われるのを回避しやすくなるという、自サイトにとってのメリットがあると判断するサイトだけでよいと思う。たとえば、なりすましメールにだまされる自社の顧客が重大な金銭的被害をこうむりうる銀行やクレジットカード会社、名をかたられたデマで社会に混乱を起こされかねない政府・自治体機関などである。それ以外の企業、学校、個人サイトなどでは、あえて導入するまでもないだろう。「貴社からのメールに書かれていたURLをクリックしてウィルス感染させられた」と苦情を受けても、「Receivedヘッダを見せてください。ほら、当社から送信されたものではありませんよ」と説明して済むことである。
 送信ドメイン認証は、標的型攻撃への対抗策として注目が集まり始めているとの情報がある。しかし、標的型攻撃を仕掛ける敵は、著名企業の信用を利用するためにその関連会社と見まがうドメインを使って、また、知人を装うために別メールアドレスを取得したふりをして(携帯電話番号が変わったと嘘をつく振り込め詐欺のように)、ターゲットをだまそうとするだろう。送信ドメイン認証では、スパムを激減させることができないだけでなく、標的型攻撃も防ぎきれないのである。
 「spf=pass」「dkim=pass」の表示に安心してしまう癖が付くのはかえって危険である。なりすましメールにだまされないためには、送信ドメイン認証の普及よりも、偽情報を見破る情報リテラシーをみんなが持つことの方が重要である。

続編:情報リテラシーを向上させるには

水曜日, 8月 01, 2012

自分の記事の検索順位が上がるか?

 前回、「送信ドメイン認証」で検索した人にぜひ読んでもらいたい記事「送信ドメイン認証はスパムに勝てないだろう」の検索順位が30位であることを述べた(今検索してみたら、34位に下がっていた)。
 S25Rホームページの注目度が高いので、ここからリンクされるサイトの検索順位が上がることが期待されてスポンサーが付いた。ならば、S25Rホームページを、自分の記事の検索順位を上げるために使ったらどうか。なぜすぐに思い付かなかったのだろうか。
 S25Rホームページの下の方に「送信ドメイン認証はスパムに勝てないだろう」の記事へのリンクを設けてみた。さて、検索順位は上がるだろうか。

「spf dkim」で検索上位のコンテンツ

 前回、単純な検索ワードで上位にヒットする私のコンテンツを自慢したが、一つ自慢し忘れたものがあった。
 もしかしたら、検索する人のPCによっては1位にヒットしないかもしれないが、おそらくトップ10には入るだろう。SPFやDKIMについて基本的なことを解説する多くのコンテンツを抜いて上位にヒットするのは意外な気がする。
 これは2008年2月8日に書いた記事。「SPFとDKIMはドメイン認証方式として理想的なものではないと思う」と述べた。その後、「ドメイン認証方式はスパム対策として有益ではない」と気付いて、2010年5月30日に「送信ドメイン認証はスパムに勝てないだろう」を書いた。こちらの方をぜひ読んでほしくて、「SPFとDKIMの問題点」の記事に「送信ドメイン認証はスパムに勝てないだろう」の記事へのリンクを設けている。
 「送信ドメイン認証」で検索すると、「送信ドメイン認証はスパムに勝てないだろう」は残念ながらトップ10にランクインしない。しかし、30位にヒットする。「送信ドメイン認証とは」では26位である。このくらいの順位なら、送信ドメイン認証について調べようとした人の目にとまる可能性はほどほど高いと期待できる。でも、なんとかトップ10まで登りつめてほしいところだ。
 送信ドメイン認証が普及したとしても、使い捨てドメインを使ったスパムに対しては無力である。送信ドメイン認証がスパム対策になるという誤解(あえて誤解と言おう)を解くために、私のコンテンツが役立ってほしいと思う。

日曜日, 7月 22, 2012

コンテンツの価値が認められれば検索ランクは上がる

 前回の続き。
 S25Rホームページにスポンサーが付いたのは、このページの注目度が高く、ここからリンクする他サイトの検索ランクを上げることができるとエージェント(インターネットマーケティング会社)に評価されてのこと。
 コンテンツの検索ランクを上げるには、背景色と同じ色で一見見えない検索ワードを本文の中にたくさん記述するとよいといった話を聞いたことがある。しかし、私はそんな策を弄したことはない。まして、お金を払ってまで自分のコンテンツの検索ランクを上げたいと思ったことなどない。それでも、多くの人が指定していると思われる単純な検索ワードでトップ10にランクインするコンテンツは、後述のようにいくつかある。
 このことから推測すると、検索ランクを上げるためにコンテンツに策を弄したり、注目度の高いサイトからリンクしてもらったりしなくても、有用である/興味深いと認めてもらえていそうなコンテンツの検索ランクはおのずと上がるようである。検索ランクは、コンテンツに含まれる検索ワードの数、コンテンツをリンクしてくれているサイトの数などの客観的データだけで機械的に決まるのではなく、コンテンツに対する主観的な価値判断も影響していると考えざるを得ない。
 検索ランクの高いコンテンツを持つ私はどんな工夫をしているかというと…
  • 読者像をはっきりさせる。すなわち、「どんな人のお役に立ちたいのか」を考える。
  • 想定した読者が一瞥して関心を持ってくれるように見栄えを工夫する。
  • 読みやすいように段落を適切に区切る。
  • 文章はわかりやすく。
  • 一文を長くしすぎない。
  • 機種依存文字を使わないなどの基本をわきまえる。
 見栄えを良くするためには図画を活用するのが当然と思われるかもしれないが、私は必要最小限しか使っていない。見栄えのための図画のデザインには慣れていない。それでも私のコンテンツの検索ランクが上がるということは、見栄えだけのための図画はあまり重要でないということだろう。
 お金をもらっておいて言うのも変だが、広告のリンク先のサイトには「もっとこうすればいいのに」と思う点がけっこうある。注目度の高いコンテンツを書く私のノウハウが活かせるなら、これをビジネスにしてみたい気もする。

 多くの人が指定していると思われる単純な検索ワードでGoogleでトップ10にランクインする私の自慢のコンテンツの一部は以下のとおり。検索順位は、検索する人のPCによって多少変わるかもしれない。

S25Rホームページに広告リンクを掲載

 ブログを長いことほったらかしてすみません。
 インターネットマーケティング会社(以後、エージェントと呼ぶ)からの依頼で、7月2日からS25Rホームページに広告リンクを掲載した。
 リンクは10個。エージェントから指定されたそれぞれのリンク名は短く、全体の表示は2行に収まる(ブラウザウィンドウの横幅800~1024ピクセルのとき)。位置は、S25R方式の概要説明と「S25Rでメールが受信拒否された方へ」の説明の間。ブラウザウィンドウの高さが600ピクセルと小さめでも、スクロールなしで広告が目に入るようになっている。
 多くのリンク名は簡潔すぎるので、訪問者がリンク名を見てもあまり興味を惹かれそうにない。そこで、AタグのTITLE属性を使って、リンクにカーソルを置くとサイトの説明が表示されるようにしようと思ったが、エージェントからそれはやめてくれと言われた。リンクを入れ替える時に修正漏れでリンク名と説明表示が食い違うのは避けたいからとのこと。どうやら、S25Rホームページを訪れた人が広告リンクをクリックしてくれることが期待されているのではなく、注目度が高いS25Rホームページからリンクされていることだけでリンク先サイトの検索ランクが上がるということが期待されているらしい。
 これでいくらもらえるかというと、リンク1個につき1ヶ月で、明太子をトッピングした博多ラーメンを食べられるくらいの価格(と言えば推測できるでしょう)。リンク先は商用サイトではなく、非営利の情報サイトなのだが、クライアント(リンク先サイトのオーナー)は、この価格にマージンを加えた料金をエージェントに支払っていることになる。非営利サイトなのに、検索ランクを上げたくてそんなにもお金を払ってくださるとは、正直驚き。クライアントの希望をかなえるのに、私のサイトがそんなにも力になれるのだろうかと気がかりである。もっとも、私のサイトの価値を評価したのはエージェントであり、私はエージェントの注文に忠実に従うだけ。私のサイトに効果がなければ契約が打ち切られるまでのことだから、私が気にする必要はないのであるが。