テレワークの整備が進む昨今では、取引先だけでなく、社員同士のコミュニケーションにもメールを使う機会が増えてきました。
『ビジネスメール実態調査2018』の調査によると、仕事関連の連絡をする際に利用するツールは「メール」と「電話」が最も多く、SNSが発達した今でもビジネスにおけるメールの重要性を示しています。
しかし、メールの利用した詐欺である「なりすまし」はメールを取り巻く課題の一つです。
ビジネスでよく利用するコミュニケーションツールだからこそ、取引先や社員に迷惑をかけないようになりすましメールに対する知識や対策は、不可欠と言っていいでしょう。
この記事では、なりすましメールの仕組みや見分け方、対策について解説します。
関連記事:Emotetとは?Emotetによるメールセキュリティの大幅な影響についても解説
目次
なりすましメールとは
「なりすましメール」とは、詐欺などを目的に第三者が企業などの名前を装い配信するメールのことです。
本文内の文章やリンクから悪徳サイトに誘導し、個人情報や機密情報を盗むことが目的です。
個人レベルではクレジットカードの情報や口座のパスワード情報を盗まれる、などの被害が発生しています。
また、企業レベルになると取引先のメールアドレスを使って送られてきたなりすましメールに気がつかず、3億円以上ものお金を騙し取られるという被害も発生しています。
メールを使うのであれば、なりすましへの対策は急務となります。
なりすましメールの仕組み
なりすましメールは、Eメールが「Envelope(封筒)」「Massage Header(ヘッダー)」「Massage body(本文)」の3つの構成に分かれてることを利用して送信されます。
例えるなら、宛先が記載してある封筒と、その中身の手紙(ヘッダーと本文)と言ったところでしょうか。
封筒に記載される情報はメール作成時の「送信者のメールアドレス」「件名」「送信日時」などのヘッダー・本文から自動で入力されます。
ミスでもない限り、受信者も送信者も封筒部分に注目することはほとんどありません。
なりすましメールを送信する人は、この特性を利用し、自分の情報が乗っているEnvelopeをそのままに、Headerを書き換えなりすましメールを送信します。
上の画像を見てみましょう。
正常なメールでは、ヘッダー部の差出人アドレスが自動で入力されているので、Envelopeにも同様のアドレスが記載してあることがわかります。
しかし、なりすましメールでは宛先が「会社(blast@rakusu.com)」であるにも関わらず、Envelopeには「fake@liar.com」というメールアドレスが記載されています。
第三者がヘッダー部分を書き換えたことによる、なりすましメールの完成です。
メールの送信を担当するサーバーであるSMTPサーバー(Simpe Mail Trancefar Protocol)はEnvelopeの情報のみを確認し、メールの本文やヘッダーとEnvelopeの照合は行わないので、相手の受信ボックスに届いてしまうのです。
なりすましメールの手法
なりすましメールの手法で「フィッシング詐欺」や「ワンクリック詐欺」、「キーロガー」という言葉を聞いたことがあるでしょうか。
これらを実例を踏まえながら、ご紹介します。
フィッシング詐欺
フィッシング詐欺とは、有名人や企業などになりすまし個人情報を盗み取る手法です。
典型的な手口としては、クレジットカード会社などに扮したメールをユーザに送りつけ個人情報を盗むものがあります。
ユーザーを本物のサイトにそっくりな悪徳サイトに誘導するために「情報確認」「パスワードの変更」などと称した文章が送られてくることが多いです。
リンク先のサイトではカード番号や口座番号を入力するように促し、入力された情報を盗み取ります。
個人に向けてだけでなく、取引先になりすましたフィッシング詐欺が会社のメールボックス宛に送信されてくることもあるので注意が必要です。
この手口によって、口座情報などが流出してしまうと、お金が抜き取られる、サイトのパスワードを変えられてしまうなどの被害が発生します。
ワンクリック詐欺
なりすましメールのなかにリンクを準備し、クリック先で架空請求を行う手口です。
「当選が確定しました」などのタイトルのメールが届き、本文内のリンクをクリックすると「会員登録完了」や「◯月◯日までにご入金ください」と言った文章が表示されます。
ワンクリックで請求されるものだけでなく、何度かリンクをクリックさせ、被害者自身が同意をしたように思わせる手口もあります。
キーロガー
キーロガーとは、キーボードの操作などを記録するプログラムやソフトのことです。
キーロガーをなりすましメール経由で相手のパソコンにインストールさせることで、相手のキーボード情報を搾取し、個人情報やパスワードを盗み出します。
メールにダウンロード用のURLを貼り付ける手口もありますが、添付ファイルにソフトを忍ばせ、クリックした際にダウンロードさせるのが一般的です。
なりすましメールの見分け方
ここからは、なりすましメールによる被害を防ぐために、なりすましメールの見分け方について解説をしていきたいと思います。
アドレスに不審な点がないか確認する
なりすましメールは、個人だけでなく企業を装った件名、アドレスで送信されます。
最近見られるなりすましメールの例には、アマゾンを装ったものがあります。
正式にアマゾンから送信されたメールですとメールアドレスは「@amazon.co.jp」のようなドメインになりますが、安易に偽装したスパムメールでは「@hogehoge.co.jp」といった形となり、本来のドメインと何ら関係ない文字列がドメインとして使われている場合があります。
身に覚えのない請求などがメールで届いた場合は、アドレスや送信者が正しいものになっているか、公式ホームページなどで確認しましょう。
添付ファイルのURLを確認する
メールアドレスだけでなく、添付されているURLにも注意が必要です。
なりすましメールの多くは、本文に記載されているURLをクリックさせ個人情報を盗み取ります。
これまでの事例としては、銀行などの担当者になりすまし、「取り急ぎこちらのご確認をお願いいたします」などの言葉を添える事で、不正なURLに誘導する手口がありました。
大手銀行のホームページへのリンクであれば、「https://www.mizuhobank.co.jp(みずほ銀行)」や「https://www.smbc.co.jp(三井住友銀行)」の様に、正式なホスト名・ドメイン名から始まります。
企業や取引先から送信されてきたURLに違和感を感じた場合は、正式なURLを確認しましょう。
なりすましメールへの対策
ここからは、自分がなりすましメールの被害を受けないための対策をご紹介したいと思います。
拒否設定
スマホや携帯のキャリアでは、なりすましメール・迷惑メールを拒否する設定をすることができます。
この設定を有効にすることで、SPFやDKIM署名に引っかかったメールは、自身のメールサーバーには届きにくくなるでしょう。
一方で、場合によってはメルマガなどの登録の際に、自動変装されてくるはずのメールが届かないという自体を招いてしまう可能性もあります。
その場合は、特定のドメインのみ受信設定を行いましょう。
送信元に確認
受信したメールに違和感を感じた場合は、その内容を送信者に問い合わせてみましょう。
ただし、受信したメールから返信をしてしまうと、詐称しているドメインの元にメールが届く可能性があるので、連絡先を知っている場合はメールを新規作成したり、直接電話で問い合わせるなどしましょう。
セキュリティソフトを更新をこまめに行う
OSやセキュリティソフトの更新は、なりすましだけでなく、ウイルス感染などからも自身を守るために必要です。
被害にあってからでは遅いので、こまめに更新するようにしましょう。
二段階認証の設定
ネットバンクやキャッシュレス決済のサイト・アプリでは、セキュリティとして二段階認証を設けましょう。
メールアドレスやパスワードだけでなく、期限付きのパスワードや、携帯の電話番号宛に送信されてくる認証コードなどを利用することで、不正アクセスを防止することができます。
まとめ
ビジネスをする上で、手軽に連絡をとることができるメールはとても便利なツールです。
しかし、なりすましメールによる手口も巧妙化しているため、自分の身を守るための工夫が不可欠です。
仕事用・私用に関わらず、受信したメールがなりすましメールである可能性はあります。
違和感を感じた場合は、メールのソースを確認してみたり、送信者に直接問い合わせるなどして対策をしましょう。
また、自身が使用するウェブメールやメールソフト、メール配信サービスなどが「SPF」「DKIM署名」などのなりすましメール対策を行っているかを確認することも重要です。
もし何もされていない場合は、自分がなりすましメールを受信する可能性だけでなく、自身のメールアドレスがなりすましメールに利用される可能性もあります。
訴訟などの問題に発展する前に、必ず対策を行うようにしましょう。
シェア一位のメール配信サービス「ブラストメール」ではなりすましメール対策を行っているため、安心してメール配信を行うことができます。
メールの一斉配信やメルマガ配信において、なりすましメールと誤判定されるリスクを減らしたい場合は、ご利用を検討してみてください。
今なら7日間の無料お試し実施中。
キーワード検索
