【注意喚起】役員を騙る「なりすましメール」が急増中。DKIM認証も通過する手口とは?

この記事は約4分で読めます。

近年、企業の役員や代表の名前を悪用した巧妙な「なりすましメール」が急増しています。

セキュリティコンサルティング事業を展開する弊社(LRM)においても、「DKIM認証」という送信ドメイン認証を通過してしまうほど高度な攻撃が確認されました。正規のメールとほとんど見分けがつかず、今後もこのような「なりすましメール」は増えていくことが予測されます。

本記事では、実際に観測されたメールの文例を公開し、なぜ認証を通り抜けてしまったのか、そしてどのような対策を講じるべきなのかを解説します。

なりすましメール について

メールの文面は、役員や代表名義で業務連絡を装いながら最終的に「LINEグループへの参加」を促す内容となっています。

これは「CEO詐欺」や「投資詐欺」への誘導でよく見られる手口であり、ビジネスツール(SlackやTeams、メール)から、個人のLINEというコンプライアンスの目が届きにくいクローズドな環境へ移動させ、金銭や情報を搾取する狙いがあると推測されます。

以下、一部弊社環境に送付されたメールの一部になりますが、同様の内容が弊社の顧客にも送信されています

LINEグループへの招待と返信を要求する攻撃メール

  • 送信者名:幸松 哲也
  • 送信者アドレス:mybeverlyflower08@outlook[.]com など
今後の業務プロジェクトに対応するため、新しいLINEのワークグループの作成をお願いいたします。

グループへの他のメンバーの追加は、私が参加した後に行います。

グループ作成が完了しましたら、そのグループのQRコードを生成し、このメールにご返信ください。

私がQRコードからグループに参加し、その後の業務調整を進めさせていただきます。

お忙しいところお手数をおかけしますが、

よろしくお願い申し上げます。

------------------------------------------------
幸松 哲也

LRM株式会社
------------------------------------------------

特徴

  • 送信者名は社長をはじめとした役員を騙っている場合が多い
  • 送信者アドレスはフリーメールアドレスを使っているケースが多い
  • メール本文では、LINEグループへの招待とその後の返信を要求する文章が記載されている

類似の別パターン(参考)

業務上の対応として、LINEグループの新規作成をお願いいたします。
下記内容をご確認のうえ、ご対応ください。

【LINEグループ作成について】
・個人携帯電話にて、LINEグループを新規作成してください。
・現時点では、他の方をグループへ招待しないでください。
・LINEグループ名は、当社の正式な会社名を使用してください。

グループ作成後、本日中に、本メール宛へLINEグループのQRコードおよび招待リンクを共有してください。
また、本メールを受領された場合は、対応可否にかかわらず、本日中に返信してください。

以上、よろしくお願いいたします。

幸松商店
代表取締役社長: 幸松 良浩

「今オフィスにいますか」と返信を要求する攻撃メール

  • 送信者名:幸松 哲也
  • 送信者アドレス:uhufikudiju289@gmail[.]com など
オフィスにいますか?昨夜お送りした通知を受け取りましたら、すぐにこのメールに返信してください。

特徴

  • 送信者名は社長をはじめとした役員を騙っている場合が多い
  • 送信者アドレスはフリーメールアドレスを使っているケースが多い
  • メール本文では、返信を要求している

パスワードの有効期限切れ通知を騙る攻撃メール

  • 送信者名:lrm.jpメールサポート
  • 送信者アドレス:no_reply@とある企業ドメイン.co.jp など
お客様各位、cs@lrm.jp

お客様のパスワードは8月25日(火)に有効期限が切れます。現在のパスワードを引き続きご利用いただくには、以下の内容をご確認ください。

アカウントを確認するには、以下のリンクにアクセスしてください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
<https://58681.gerentegoogle.com>[.]br/#?email=cs@lrm.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

パスワード認証が完了しない場合、アカウントが停止される可能性があります。

(c)lrm.jp Mail Corporation

特徴

  • 送信者名は社長をはじめとした役員を騙っている場合が多い
  • 送信者アドレスのTLDは .com.jp も使用されているケースがある

DKIMを通過

複数社で配信された 「なりすましメール」はドッペルゲンガードメインなどを利用されおり、文章にURLを記載していないため、DKIM認証を通過し、迷惑メールとして認識されず通常のメールとして受信されています

そのため、本物のメールと勘違いし騙される可能性があります。

なりすましメール対策について

社内向けに、以下共有を行う必要があります。

  • Lineグループへの誘導を行う連絡は全て偽物である事
  • 怪しいと思ったら返信ではなく、Toで連絡を行う、SlackやTeamsチャットで確認する

また、こうした巧妙な攻撃を防ぐには、さらに従業員一人ひとりの「見分ける力」を養う教育が不可欠です。

弊社の情報セキュリティ教育クラウド「セキュリオ」では、今回ご紹介したようなLINEグループへの誘導を模した「なりすましメール」のテンプレートも豊富にご用意しています。実戦に近い訓練を通して組織のセキュリティを高めることができますので、ぜひお気軽にお問い合わせください。

セキュリティ教育をかんたん
効率的なセキュリティ教育を今すぐ始める
情報セキュリティ対策サイバー攻撃対策
セキュリオ標的型攻撃メール
情報セキュリティ教育クラウド「セキュリオ」
タイトルとURLをコピーしました