三菱東京UFJ銀行から、「【三菱東京UFJ銀行】ウィルス対策ソフト(インターネットバンキング専用)のご案内(無料)」というタイトルのメールが届いた。
「インターネットバンキング専用の無料ウィルス対策ソフト「Rapport(ラポート)」のご案内」という内容だ。
確かにS/MIMEによる電子書名はされている。
が、銀行預金を狙うSPAMメールが反乱している昨今、当然送信元を確認することにする。そもそもソフトウェアの導入を促すような内容なのだから当然だ。
と、こちらのメールサーバに接続してきたのは、mufg.jpではなくmpme.jpというドメイン。さらに、Return-Pathはmpse.jpというこれまた異なったドメイン。どちらも汎用ドメインという、もうspamの臭い満載である。
おまけに、MIMEマルチパートの本文はquoted-printableでエンコードされているという有り様。
とりあえず、whoisでしらべてみると、mpse.jpは エクスペリアンジャパン株式会社、mpme.jpはエイケア・システムズ株式会社として別の会社が登録されている。
なんなんだ、これは。
これらのアドレスのWebページを見てみると、「MailPublisherサービスについては以下のページを参照ください。エクスペリアンジャパン マーケティングサービス」と表示され、会社の営業案内ページに飛ばされアドレスの意味するものさえ分からない(この会社のメール送信システムから来たのだろうと想像はつくが...)。
さらにGoogleでmpme.jpを検索してみると、このアドレスを使ってのメールマガジンなどの送信案内などが大量にヒットした。どうやら、メール配信業者のようで、自治体などのユーザーも多いようで、どうやら怪しいspam業者というほどでも無いようだ。
しかし、どこのメールマガジンも「ドメインmpme.jpが受信できるようにしろ」と書いてある。これだけ大量のメールマガジンを送信しているところを、信頼できるドメインに加えるということが、意味するところを理解できないのだろうか。まあ、できないからこのシステムを採用するのだろうが。嘆かわしい。
とりあえず、このシステム、セキュリティを気にするのであればイカレタシステムだと言わざるを得ない。
どうでもいいメールマガジンならかまわないが、自治体や、銀行といったセキュリティに気を使うべき企業が採用するべきシステムではないことは間違いない。別の銀行への変更さえ考えたほうがいいかもしれない。
三菱東京UFJ銀行は、最低限、メール内はもちろん、Webページにも以下のことを明記するべきだろう。
- エクスペリアンジャパンのメールシステムを利用して送信している。
- メールサーバに接続するのはmufg.jpではなくmpme.jpドメインであること。
- Return-Pathはmufg.jpではなくmpse.jpというドメインであること。
