生アドレス収集手法を思いついた

すでにやられている手法かもしれないが、ふと思いついた生きているメールアドレス、略して生アドレスを収集する方法を思いついたので、安全活動のめんからもその手法を晒します。

うまく行くかどうかは別としてもちろん悪用厳禁だ。

📠FAXのセキュリティ

これだけインターネットが普及して絶滅寸前とはいえどもビジネスシーンではFAXは未だに現役といえる。しかし、FAXにたいするセキュリティー対策はほぼないに等しい。

あっても、受信したものはすべて印刷せずに複合機の機能を利用してPDFとして保存して担当者が振り分けるとか、複合機に登録したアドレス帳以外は以下同文。とかくらいで最終的には人工フィルターしかない。

そんなFAXで一斉送信した場合か、業者に送信代行依頼したFAXは、送信元が「9999 99」となる。受信側も「またか」と思いつつも中身を確認して取引先だったり、業界新聞的なものだと安易に人工フィルターをすり抜ける。

その受信FAXの紙面にはQRコードまたは短縮URLでアドレスが記載されていて「今後はメールで配信するのでメールアドレスの登録をお願いします」と書かれてある。

そのアドレス先はGoogleフォームで、紙面に記載の企業ドメイン内ではないが「最近Googleフォーム利用する企業も増えてきたよね、よくみかかるようになったわ」と名前、メールアドレスを入力する欄に会社や自分のメールアドレスを入力し送信する。

このように紙面を偽造すれば生アドレスをゲットすることが可能。つまり、送信元を偽って生きたアドレスと名前を収集することができるのではないか。最近ではメールによるなりすましに対しては構えるけれど、FAXに対しては送信元または送信元番号まで気にして社内で回していないのではないか。

とはいえ、ここで紹介した方法により生アドレスを収集しなくても、きょうび名刺交換や資料を送信したいのでメールアドレスを教えてくださいと言えば、かんたんに教えてもらえるかもしれない。

たまたま受診FAXに記載されたQRコードをみて、メールのなりすましよりリアクション率高いのではないか？と思い、考えてみたがそこまで汎用性のある手法とは言えないか。

とはいえ、📠FAXに対するセキュリティリテラシーはメールより低いとは思うので、セキュリティ対策の一例としてよろしくどうぞ。