インターネットを使う以上、ウェブページ閲覧にしろメール利用にしろドメイン名と無関係ではありません。
ドメインはウェブ上に存在するコンピュータのIPアドレスを分かりやすい文字列にしたものです。iPアドレスでも区別は付けられるとしても、実際に数字の羅列だけでは自分がいま何のページを見ているのか分からないため、DNSサーバによって文字列との変換が行われて利用出来るわけです。
ブラウザでウェブページを見るときに、上部にURLが表示されていますが、あそこがそのページの説明にもなっています。
ドメイン名の後にスラッシュを挟んで、indexとかtopとかaboutとか表示されている部分を見ても、少なくともそのページの制作者が何の意図を持ってそのページを作っているかが分かります。
ドメイン名自体にも当然意図は反映されます。組織・団体・企業がそれぞれ自分たちの名前そのものあるいはそれに近いドメイン名を取得して利用しているのですが、インターネットが個人レベルで普及して四半世紀以上経つと、簡単なドメイン名を新規取得することはほぼ不可能になりました。
.comとか.jpとかのトップレベルドメインをマイナーな.shopとか.xyzといったものにすれば、単純なドメイン名を使うことは無理ではありませんが、それはそれで逆に胡散臭さが引き立ってしまいます。
かといって、.comの前に長々と英語や日本語のローマ字表記が並ぶドメイン名もわかりやすさが減じてしまいます。かくて、閲覧する側もドメイン名をあまり意識しないようになります。
90年代ならいざ知らず、今、ブラウザにURLを直接キーボード入力して閲覧することは年一回も無いでしょう。印刷物でURL表示するにしてもQRコードがまず間違いなく入っているでしょうし、ハイパーリンクで飛べなくても検索すればまず間違いなく目的のウェブサイトは見つかります。
では、本当にドメイン名は意図して作成する必要があるのかどうか、という疑問が沸いてきます。完全にランダムな文字列のドメイン名(例えば、wnatij1a39b6weoa2iab52to8b.co.jp)でも、直接URLを見たり入力したりすることなく、リンクやQRコードや検索結果からアクセスするなら同じことです。
そうなれば、ドメイン名の制約はなくなりますが、問題としてはフィッシング詐欺を見抜くのが難しくなることでしょうか?
迷惑メールに記載のリンクは、誤認させる対象の存在(例えば銀行やショッピングサイト)の正しいURLっぽいけれど本物とは異なるドメインです。ハイパーリンクは表示される文字列とリンク先の文字列を別に出来るので、こんなフィッシング詐欺メールも簡単に作成出来ます。
だからこそ、迷惑メールに気付く対策としては、リンク表示にマウスカーソルを合わせて、ウィンドウのステータス表示に出てくるリンク先URLの文字列のドメイン名が本物かどうかを見ることになります。ドメイン名が全くランダムの文字列になってしまうと、そういった見抜き方が使えなくなってしまいます。
ただ、そもそも迷惑メールに騙されないためにはリンクを確認する以前にスパムフィルタがしっかりしているメールサービス、メールソフトを使えば良いのですけれど、Gmailでもちょくちょくすり抜けてくるので結局末端ユーザーでの心構えがいつまで経っても必要とされます。
フィッシング詐欺のリンクが機能しないような新たな仕組みが生まれるか、あるいは詐欺に引っかかっても容易に被害回復出来るような、カード決済やデジタル通貨決済が普及するしかないのでしょうか。
そういった対策が普及しても犯罪者側はまたそのさらに上を行ってイタチごっこにしかならないのでしょうけれど、少なくともドメイン名については、公的組織や大企業のホワイトリストのようなものがあればと思います。
SSLのEV証明書は、あくまでそのドメインの利用者が実在して組織として機能していることを表しますが、SSL自体はあくまで通信の安全を証明するだけのものですので、目的が異なります。そのサイトの運営組織が悪意を持ってウェブサイトを運営していたら、詐欺の危険性は全く変わりません。
ハイパーリンク、ドメイン、SSLはインターネットの普及と発展にとてつもない大きな貢献をしてきましたが、さらに少なくとももう一段階追加しないといつまで経っても詐欺被害は減らないでしょうね。
コメントを残す