eSecurity Planetは6月17日(現地時間)、「Think Before You Click: ‘Unsubscribe’ Buttons Could Be a Trap」において、覚えのないメールマガジンの購読を解除することで個人情報を流出する可能性があるとして、注意を喚起した。

フィッシングメールやスパムメールの最後に記載された購読解除リンクにアクセスすると、悪意のあるWebサイトに誘導される可能性があるという。

  • Think Before You Click: ‘Unsubscribe’ Buttons Could Be a Trap

    Think Before You Click: ‘Unsubscribe’ Buttons Could Be a Trap

確率は低いが無視もできない

DNSFilterの最高技術責任者(CTO: Chief Technical Officer)を務めるTim Keanini氏によると、メール末尾によく見られる「クリックして購読を解除する」というリンクは、644件に1件の割合で悪意のあるWebサイトにつながる可能性があるという。その確率は約0.15%と低いが、毎日数十億ものスパムメールが送信されていることを考慮すると無視できないリスクと指摘されている。

このリンクをクリックした場合の被害としては、以下が考えられるという。

  • メールアドレスが生きていることを特定される
  • フィッシングサイトに誘導され、個人情報や認証情報などを窃取される
  • Webブラウザに脆弱性が存在する場合、マルウェアに感染する

フィッシングメールやスパムメールを止める方法

受信トレイに毎日のように配送されるフィッシングメールやスパムメールはユーザーを不安にさせ、煩わしい操作を発生させる。その煩わしさから逃れるために購読を解除したいところだが、不審な配信者に直接停止を求める行為は前述のリスクがあり推奨されない。

そこでより安全な方法として、Gmailなどのメールプロバイダーが提供している「配信停止」、または「メーリングリストの登録解除」ボタンの利用が推奨されている。この方法を使用すると、フィッシングサイトへの誘導やマルウェアの感染を回避することができる。

ただ、この方法を使用してもメールアドレスの有効性を特定される問題は回避できない。すべてのリスクを回避したい場合は、メールアプリの「迷惑メール」機能を活用するか、適切なフィルターを手動で作成する必要がある。

Webサイトからの登録解除は慎重に

メールプロバイダーの配信停止ボタンなどが利用できず、Webサイトから登録解除を試みる場合は次の点に注意する必要がある。

  • 個人情報などの入力を求められた場合は、速やかにWebブラウザを閉じる。登録解除に個人情報は不要と考えられることから、入力を求めた時点でフィッシングサイトと評価することができる
  • 一部のオンラインサービスは第三者による登録解除を回避するために認証を求めることがある。フィッシングサイトへの入力を回避するために、認証時には毎回URLを検証して正規のWebサイトかどうかを確認する

Webサイトからの登録解除ができない場合や無視された場合は、メールアプリの迷惑メール機能やフィルターに頼ることになる。これら対策を実施しても大量のフィッシングメールが送られてくる場合は、メールアドレスの追加が推奨されている。

フィッシング対策協議会は消費者に対し、主要なサービスを新しいメールアドレスに切り替える方法を提案している(参考:「(PDF) 利用者向け フィッシング詐欺対策ガイドライン 2025 年度版 - フィッシング対策協議会」)。この対策を実行するにはまとまった作業時間が必要になると考えられるが、対策の1つとして前向きに検討することが望まれている。