「なりすましメールってよく聞くけど、イマイチどんなものかわかっていない」という方も多いのではないでしょうか。
なりすましメールは、知り合いや企業の名前を騙ってあたかもその人からメールが来たように見せるものです。
「メールくらいいいんじゃない?」と思うかもしれませんが、もしなりすましメールを開いてしまうと情報漏えいやウイルスに感染する可能性があり、気づかないうちに取り返しのつかない事態になるかもしれません。手遅れになる前に、事前に対策をしっかりと考えておきましょう。
今回は、なりすましメールの仕組みや送信者の目的、なりすましメールの対策方法を解説します。
また、巧妙ななりすましメールなどで企業のセキュリティを脅かす標的型攻撃メールについては、こちらの記事で解説していますので、あわせてお読みください。
なりすましメールとは
なりすましメールとは悪意のある第三者が、企業や団体の名前を使って、まるで本人であるかのように「なりすまし」て送信するメールです。
主に「スパム」や「フィッシング攻撃」で活用され、業務で関係ある人、知り合い、実在する機関を名乗って、メールや添付ファイルを開かせたり、悪意あるサイトへ誘導します。
こう聞くと「そう簡単にひっかからないのでは」と思いがちですが、なりすましメールは送信者の名前も偽装するため、見覚えのある名前が表示されて信頼してしまいやすくなります。
なりすましメールの種類は主に、以下の2種類です。
ビジネスメール詐欺(BEC)
ビジネス上の関係者を装い、見積書や請求書を送るなどして、「仕事に関する請求」という建前で金銭の振り込みを促す詐欺です。
フリーメールや、本来ありえない文字列のメールアドレスの場合、すぐに看破されてしまうため、業務用のメールを盗み取ったり、本物に似せたホームページを制作して、個人情報を入力させるフィッシング詐欺に流用したりと、巧妙に詐欺が行われます。
標的型攻撃メール
「標的型攻撃メール」は、特定の組織に向けて情報窃取を目的として送信されるメール攻撃です。
ウイルスを相手のパソコンに感染させるために、添付ファイルを開くように仕向けたメールや不正なリンクを開くように誘導するメールを標的に送り、ウイルスに感染したPCから情報を盗みます。
なりすましメールはどのような仕組みか
なりすましメールは、主にメールの「ヘッダー」が偽装して送られてきます。
メールには以下の3つの要素に分けられます。
- ヘッダー
封筒の中にある手紙。手紙を出した人の名前が書かれている。 - エンベロープ
手紙でいう封筒。指定された住所(メールアドレス)にメールの本文を送信する技術。 - 本文
手紙に書かれている内容。
このヘッダーを偽装して「知っている人からのメールしかきていなかった」と思っても、知らない間にメールを受信してしまっている可能性があります。
なりすましメール送信者の目的
なりすましメールの主な目的は「口座情報や会社の重要な情報を盗む」ことです。
口座情報を盗まれてしまうと、金銭的被害を伴い、会社の情報が盗まれてしまうと、情報漏えいのインシデントとなったり、顧客情報が流出した際には損害賠償まで発展し、会社に大きなダメージを与えかねません。
特に、ビジネスメール詐欺は、2017年の12月に日本の大手航空会社「日本航空(JAL)」が3億8,000万円をだまし取られたケースがありました。
このように、一通のメールから大きな金額が動く可能性があります。
なりすましメールの今
現在は、メールのセキュリティも向上し、迷惑メールフォルダに振り分けられるなどしていますが、なりすましメールの数自体は増加傾向にあります。
(出典:迷惑メール対策推進協議会:迷惑メール白書2021)
ですが、2018年12月11日に一般財団法人日本情報経済社会推進協会が実施した「企業のなりすまし対策調査結果」では、なりすましメールへの対策となる技術の「SPF」「DMARC」(対策の項で後述)を導入していない企業やURLが、調査した40万のURLのうちの約40%にも上りました。
また、「SPF」だけを導入しているのが全体の約60%で「DMARC」のみの導入は約0.1%で、両方設定しているのは約1%と、まだまだ対策が足りていないのが現状です。
なりすましメールの対策
メールセキュリティ技術を利用する
なりすましメールを防ぐ方法として、電子メールの送信者偽称を防ぐ「送信ドメイン認証技術」があります。
先述した「SPF」と「DMARC」について解説します。
SPF(Sender Policy Framework)
電子メールの送信者の詐称を防ぐ技術の1つとして、現在一番普及している技術です。
SPFが設定されていないメールは迷惑メールと判断されたり、受信拒否されうっかりメールを開いてしまう事を抑止します。
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
送信ドメイン認証技術を利用して、送信者が詐称されたメールを受信側がどう扱うべきか決定できる仕組みです。例えば「海外から送信されたメールはすべて削除する」などのような迷惑メールの設定ができ、そもそも迷惑メールと思しきメールをあらかじめ削除することで、うっかりメールを開いてしまう事を抑止します。
二段階認証を設定
二段階認証とは通常のパスワードの他に、スマートフォンにワンタイムパスワードをSMSで送ったり、認証コードを入力して、本人であることを確認する機能です。
万が一、なりすましメールでパスワードを取られても、二段階認証があることで不正アクセスを防止できます。
怪しいメールは開かない
差出人に見覚えがあっても、メールアドレスや件名に違和感があれば、一旦メールを開くのはやめて、実際にメールが送られてくる心当たりがあるか考えてみましょう。
また、同じように差出人に見覚えがあっても、URLのリンク、添付ファイルのダウンロードをするのは避け、ウイルススキャンなどを実施したり、メールアドレスなどの整合性が取れ、安全を確認できてから開くことを徹底しましょう。
パスワードは特定できないものにする
パスワードは、本人の誕生日などを絡めた特定しやすいものを避け、意味を持たない複雑な文字列にしましょう。また、定期的にパスワードを変更し、一定時間同じ物を使うことも避けましょう。
まとめ
なりすましメールの被害に合わないためには、どんなに知っている差出人の名前のメールでも、まずは一呼吸おいて、「メールが送られてくる心当たりはあるか」「メールアドレスが本人のものか」「リンクや添付ファイルは怪しい要素はないか」を確認しましょう。
この事前確認をすることで、なりすましメールの被害にあう可能性を大きく減らせます。
また、なりすましメールの被害を防ぐためには、セキュリティサービスを利用することも有効です。
送信ドメイン認証を活用することで、なりすましメールを機械的に判別できるようになります。
このように、様々なフィルタリングによる対策を組み合わせ、メールセキュリティを強化しましょう。
また、巧妙ななりすましメールなどで企業のセキュリティを脅かす標的型攻撃メールについては、こちらの記事で解説しています。
