リリースノート 3.71.3: フィッシング対策が強化され、安心してご利用いただけるようになりました。

詐欺メールは深刻なセキュリティリスクです。フィッシング攻撃、悪意のあるリンクや添付ファイルは、最大のリスクのひとつです。

この度、Tutanotaをアップデートしました。フィッシング対策を強化したことで、お客様のセキュアなメールボックスの安全性がさらに高まりました。ユーザーがフィッシングメールを報告することで、他のユーザーにも警告を与えることができるようになりました。私たちは、このシステムを完全に非公開で実装することに挑戦し、お客様のプライバシー保護に関して高い基準を満たしていることを確認しました。


フィッシング対策の強化

新システムでは、ユーザーがクライアント内でメールをフィッシングとして報告できるようになりました。

電子メールがフィッシングであると報告するには、右の三点ボタンをクリックし、「Report phishing」をクリックします。

これらの報告に基づいて、外部の電子メールを受信する際にはサーバー上で、受信箱を読み込む際にはクライアント上で、フィッシングチェックが行われます。

これらのチェックでは、お客様のプライバシーを保護するため、サーバーに追加のデータは送信されません。データが転送されるのは、お客様がフィッシングメールを報告するときだけです。フィッシングメールを報告する際には、データがサーバーに転送されることを知らせる警告が表示されますので、誤って機密メールを報告することがないように注意してください。

電子メールが報告されると、その電子メールから署名(異なるフィールドのハッシュ)が作成されます。他のユーザーがログインすると、この署名がダウンロードされます。お客様がメールを開くと、Tutanotaは異なるメールフィールドのハッシュを計算し、報告されてダウンロードされたものと比較します。これは、クライアント上でローカルに行われます。一致するものが多ければ、そのメールはフィッシングとみなされ、それに応じたマークが付けられます。

また、システムの不正使用に対する保護機能も備えています。また、誤ってフィッシングと判定された場合は、個々のメールをホワイトリストに登録することもできます。

フィッシングの警告サイン

フィッシング対策の強化に関連するもう一つの点は、モバイルデバイスでも、すべてのケースで完全なメールアドレスを表示することです。これまでは、モバイルでは拡張表示でも送信者名しか表示されず、ユーザーは送信者をクリックしないと完全なメールアドレスを表示できませんでした。

スパム処理の改善

Failed authentication warning in Tutanota.

今回のリリースでは、メールの認証に関する情報もより多く紹介しています。これまでは、SPF、DKIM、DMARCのいずれかのレコードが失敗または見つからないメールがあった場合、そのメールをスパムに振り分けていました。今回のリリースでは、認証に失敗した、または失敗しているという情報をバナーで表示します。認証に失敗したメールはスパムフォルダに振り分けられますが、認証レコードが見つからないメールは、他の理由でスパムに分類されない限り、受信箱に届きます。これにより、スパムの誤認識が減ります。

また、これまでFROM送信者とテクニカル送信者が異なる場合に表示されていた警告の三角マークを削除しました。この変更の理由は、あまりにも頻繁に表示されていたことと、DMARCのステータスとは関係がなかったためです。警告の三角形の代わりに情報バナーが表示されるようになりました。情報バナーはより分かりやすく、このメールに何が問題なのかをより深く理解することができます。

Invalid sender warning in Tutanota.

最大限のプライバシー保護

今回の変更では、お客様のプライバシーに特に配慮しています。お客様のメールボックスでフィッシングチェックを実行する際、お客様のプライバシーを保護するために、サーバーには一切データを送信しません。データが転送されるのは、お客様がメールをフィッシングとして報告するために積極的にクリックしたときだけです。

Tutanotaでは、なぜプライバシーが重要なのかを理解しているからこそ、お客様のプライバシーに配慮しています。