思わずクリックしちゃったフィッシングメール・・・Macのメールappでできる対策は限定的です。 | mac野郎なのか

From： "Amazon.co.jp" からAmazonプライムの自動更新設定を解除した旨のメールが届きました。あれ？クレジットカード何かおかしい？プライムフォトに大量データがあり無くなったら困る→早く対処しなきゃと「支払方法を更新する」リンクをクリックしました。表示されたWebサイトはAmazonのログイン画面です。日頃からURLをチェックするように心がけていたので、AmazonのURL（ドメイン）では無いことに気がつけました・・・思わずクリックに反省です。

その後いつもの方法でログインし、Amazonの定期購読の内容を確認し問題ないことを確認しました。

フィッシングメールはメールの内容だけで怪しいと思うのは困難でした。

Fromが詐称されているため、メールの内容では普通にAmazonから届いたメールでした。
→じっくり見ても正しいメールアドレスで騙されました。

クリックする前に気づけそうなポイントは以下３点でした。

1. メール本文中に、意味不明なメールアドレスが記載されていました。宛先が違う送信ミス？と考えてしまうような内容です。
   
2. よくよく考えると受信したメールアドレスはプライムに登録していないメールアドレス（プロパイダーのサブメールを利用しています。メインのアドレスと受信箱は同一で気がつくのが遅れました）でした。
3. 一部文字が文字化け（？）していました。

このメールをさらに詳しく内容確認（表示→メッセージ→ソースで受信したメールをその物を確認できます）するとReturn-Path、Sender、X-FROM-EMAILは.cnドメインでした。Fromが詐称され、メール.appでメールを見ただけではAmazonから来たメールで絶対に気がつけません。

• Return-Path: <useraccounte-update@＊＊＊.cn>
  
• Sender: useraccounte-update@＊＊＊.cn
  
• From: "Amazon.co.jp" <account-update@amazon.co.jp> ＜＝標準の表示設定ではここしか表示されない
  
• X-FROM-DOMAIN: ＊＊＊.cn
  
• X-FROM-EMAIL: useraccounte-update@＊＊＊.cn
  
• メールはtextとhtmlのマルチパートメッセージ（Content-Type: multipart/alternative;）でした。メール.appはhtmlを表示します。

macOS標準のメールアプリでできる制限（ルール）は限定的でした。

メールを開く前に、怪しいメールは除外したい。でも実現できませんでした。良い方法あったら教えてください。

1. メールの表示形式をカスタマイズできない？
   受信一覧にSenderとかを表示するように変更したい。方法が見つかりませんでした。メールを開いた後の表示エリアに返信先アドレスを表示することはできます。ただ開く前に確認したい。それができません。
   
2. 細かい制御はできない。
   Sender、Return-PathとFromのドメインが異なっていることがわかっています。SenderのドメインとFromのドメインが異なっていたら迷惑メールフォルダーに移動する、そんなルールを作りたい。でもこのような指定はできませんでした。%sender%、%from_domain%というような内蔵キーワードがあったりするんでしょうかね。見つけられませんでした。
   どんなドメインから迷惑メールが来るの？把握できません。macOS Montereyの標準メール.appでは全て手打ちで入力することで成り立つようなルール定義しかできないようです。
   
3. メッセージの内容へのルールはなぜか効かない
   次に本文中にContent-Type: text/html;、<htmlや<bodyがある場合、バックググラウンドの色、又はフラグを設定するようなルールを追加しました。目的通り動作しませんでした。このことからbase64デコード前のメッセージ本文は対象外、デコード後のメッセージはテキストのみを対象にしている？と推測しています。
   
4. テキストメール以外の場合強調表示
   この方法は注意喚起に一定の効果があるかもしれません。メールにはさまざまなパターンがあります（網羅できません）。Content-Typeがtextではない場合、フラグを設定するルールを作りました。これは正常に動作しています。ただ届いてくるほとんどのメールはHTMLを含んだメールでフラグだらけに・・・注意喚起としては微妙かもしれません。
   
   
   （ヘッダリストを編集・・・からContent-Typeを追加できます）

Mailが落ちる・・・ スリープから復帰後、ログインするとMailアプリが終了している現象が発生しています。頻度は1日1回程度。いつ落ちているのかよくわかりません。原因を追求するためコンソールアプリを開いてログを監視しましたが、落ちたタイミングすらログに残っていません。今のところ原因不明です。
直近で変更した内容はこのルールの追加とウィルスバスターの導入です。ひとまずこちらのルールの適用をOFFにし、再構築しています。

まとめ：標準メール.appは「怪しいメールは開かない」が実現できない

「怪しいメールは開かない」とよく言われます。mac野郎なのかも開きたくありません。

今回の経験で、怪しいか怪しくないか、その判断できる材料はメールヘッダにありました。

メッセージのテキスト内容をそのまま表示する等の操作ができます。ただこれはメールを開いた後にできる機能で、開く前の未読メールに対してはできない操作になっています。

macOS標準のメール.appはホワイトリスト方式（連絡先にあるメールアドレスしか許可しない等）で運用すれば「怪しいメールは開かない」を実現できます。今回のようなFromを偽ったメールアドレスでちゃんと除外できるの？未確認です。

今回フィッシングメールへの脅威を体験し、「これ相当注意しないと騙される」「注意しても騙されてしまうかも」と感じました。
対策を講じましたが達成には程遠い対策です。

完璧にガートしてくれる保証はないです。騙されると被害が大きいフィッシング詐欺メールに対してはウィルス対策ソフトが必要では？と気がつけました。

ウェブメールの検知にも対応しているトレンドマイクロの「ウイルスバスター クラウド」（Amazon）検討しています（internet watchの記事を読んで良さそうだと思いました）。

3年3台で約1.2万円、被害を未然に防いでくれる値段ってことですね。macOS Monterey、macOS Big Sur、macOS Catalina３つのバージョンをサポート、M1、Intel共に対応しています。
→ネット詐欺対策はMac非対応でした。ネット詐欺メール対策機能もフル機能ではありませんでした。自動振り分けはできません、詐欺メールの判定はできます。Orz。パソコン向け機能一覧

ウィルスバスタークラウド 30日無料体験版を使って検討します。ウイルスバスター for Mac のアンインストール方法を読むとM1 macは注意が必要そうです。

他の対策ソフトとは併用できないみたいです。インストールできませんでした。
Bitdefender Virus Scannerを一旦アンインストールし、体験版インストールしました。

1. macOSの標準メールappでは機能しないことが判明しました。Gmailには有効なようです。
   ウイルスバスター for Mac の「詐欺メール対策」機能について
   
2. ウィルスではないのでスキャンしても反応しない。脅威は検出されない。
   受信したメールはデスクトップ等へドラックアンドドロップすることでファイル化（eml）できます。このファイル化したものをファイル右クリックから「セキュリティの脅威をスキャン」しました。

怪しいかも？メールを開く前にチェックして判定してくれるようなことを期待していました。標準メール.appではできない感じです。30日の無料体験は続けます。