コラム

2023.04.23

なりすましメールとは?種類や効果的な対策方法を解説!

なりすましメールとは?種類や効果的な対策方法を解説!

はじめに

電話の時間が合わない相手とのやり取りや文書の送付など、日常でもビジネスでも必要不可欠なコミュニケーションツールであるメール。昨今はテレワーク需要が拡大したことにより、オフィス勤務ならば直接話して済ませるようなやり取りでも、メールを使う機会は多くなりました。しかし、メールは便利なツールである一方、詐欺や個人情報を騙し取るような迷惑メールによる被害が後を絶ちません。本記事ではなりすましメールの手口と引っかかってしまう理由、対策についてご紹介していきます。

なりすましメールとは

なりすましメールとは、悪意ある第三者が企業や組織、他人の名を騙り、送り付けるメールのことを指します。その目的は、多くが個人情報の抜き取りや金銭の不当な要求です。通販サイトや運送業など利用した経験のある企業や、裁判所や弁護士のような法律関係者を名乗る者から、個人情報や金銭を要求するメッセージやメールが届いたことが、誰しも一度はあるのではないでしょうか。
以前は一目で怪しいと気づけるものが多かったなりすましメール。しかし、昨今は送信元が一見自分の登録しているサイトや取引先になっていたり、具体的な指摘と指示で緊急性が高いものであることを強調して受信者の冷静さを失わせようとしたりと、手口も年々巧妙になっています。そのため、届いたメールを一目でなりすましメールだと判断するのは容易ではありません。また、新型コロナウイルス感染症の影響でテレワーク需要が拡大した頃から、代表的ななりすましメールであるフィッシングの報告件数は急増しており(図1)、コロナ禍以前と比較すると詐欺被害にあう可能性が高くなっていることが分かります。

図1.フィッシング報告件数

参考:報告件数はフィッシング対策協議会(https://www.antiphishing.jp/report/monthly/)の調査に基づくものです

なりすましメールの種類

一括りになりすましメールといってもさまざまな手口が存在し、それぞれ異なる特徴を持っています。代表的なものは以下の4つです。

  • フィッシングメール
  • ビジネスメール詐欺(BEC)
  • ワンクリック詐欺
  • ソフトウェアキーロガー

次の項目から詳しく解説していきます。

フィッシングメール

EC(電子商取引)サイトやカード会社、あるいは有名人など実在する企業・人物になりすましたメールを送り付け、金銭の要求やアカウントの乗っ取り、個人情報の盗取などを行う手口です。
「料金未払い」「法的措置」などの文言を用いて架空請求をしてくるメールや、メール本文にURLを挿入し、本物とそっくりな偽のサイトに誘導してテキストボックスに情報を入力させることで、クレジットカードや氏名・住所のような個人情報を抜き取るなど、以前からある典型的ななりすましメールです。時代に合わせて「月額利用料」や「パスワード変更のお知らせ」など、より多くの人の興味関心を引くような文言を用いてリンク先へ誘導するところが、フィッシングメールの厄介な点です。
この手口の特徴は以下の通りです。

  • 不安を煽ってリンク先へ誘導
    (例)「アカウントの凍結」「料金未払い」などのキーワードを使用
  • なりすます企業のメール文面やページデザインを模倣
    (例)ECサイトの購入履歴と酷似した文面での金銭の支払い要求

ビジネスメール詐欺(BEC)

取引先や職場関係者など、ビジネス上の関係者を装ってメールを送り付けるという、世界各地で急増している手口です。偽りの支払い指示をして金銭などを騙し取ることや、ビジネス文書を装った添付ファイルを受信者に開かせることでマルウェアに感染させ、機密情報の盗取をすることなどを目的としています。
ターゲットを決めて念入りな下調べをしているところが、無差別にメールを送り付けるフィッシングメールと大きく異なる点です。場合によっては数か月から数年もの時間をかけてターゲットについて調べ上げ、さらには人手が少なくなりやすい長期休暇前後の時期を狙うなど手口が非常に狡猾になっています。
日本企業でも、すでに大手航空会社が数億円規模の詐欺被害にあっており、対岸の火事で済ませるのは危険な時代だといえるでしょう。
この手口の特徴は以下の通りです。

  • 緊急性を煽る件名
  • (例)「緊急」「重要」「極秘」など
  • 送り主が本人であるように見せかける
  • (例)署名が本物と完全に一致、または酷似
  • ビジネス上で利用されているような名称のファイル添付
  • (例)「見積書」「議事録」など

ワンクリック詐欺

Webページや電子メールの本文に挿入されているURLにアクセスしたり、動画の再生ボタンや画像をクリックしたりするだけで、入会手続きや有料サービスの利用などの契約が成立したかのように見せ、金銭の支払いを要求する手口の詐欺です。
ページ内の年齢認証ボタンや画像、動画再生ボタンなどをクリックする=ワンクリックによって詐欺の被害にあうことから「ワンクリック詐欺」と呼ばれています。なりすましメールの本文に挿入されているURLにアクセスすると、ワンクリック詐欺の被害にあう可能性がありとても危険です。また、昨今ではURLにアクセスし画面を閲覧するだけで支払いを迫るという、より悪質な「ゼロクリック詐欺」も広がっています。
この手口の特徴は以下の通りです。

  • アダルト・出会い系コンテンツを装っていることが多い
  • 利用者の個人情報を特定しているように見せかける
  • (例)利用者のIPアドレスや位置情報、メールアドレスなどを画面上に表示するなど
  • 利用者を脅して支払いを迫る
  • (例)「〇日以内に支払わなければ法的措置をとる」「支払いが遅延すれば高額な料金が発生する」など
  • 利用者から連絡をとるように誘導する
  • (例)「連絡すれば料金の減額ができる」「支払えない場合はこちらに連絡」など

ソフトウェアキーロガー

キーロガーとは、キーボードで入力された内容(履歴)を記録するソフトウェアやハードウェアなどのことです。本来はデバッグや通信ログの確認など、ソフトウェア開発に役立てられていた技術ですが、他人の情報を盗み取るマルウェアとして悪用されるケースが問題となっています。
ここではなりすましメールと関わりが深いソフトウェア型についてご説明します。ソフトウェア型のキーロガーはソフトウェアという分類から分かるように、インストールされることでパソコンに侵入します。なりすましメールの文面に挿入されているURLにアクセスしたり、有害なWebページを閲覧したりするだけで勝手にキーロガーのソフトウェアがインストールされてしまうこともあるため、入力した情報を気づかないうちに盗み取られている可能性があり非常に危険です。
対策としては以下の内容を注意喚起することが挙げられます。

  • 不用意にファイルやデータをダウンロードしない
  • 怪しいWebページにはアクセスしない
  • 万が一端末に侵入されても検知できるように、セキュリティ対策ソフトを常に最新バージョンにアップデートする

なりすましメールの対策

ここまで、なりすましメールの手口には種類があり、そのどれもが情報や資産を狙った悪質なものであるということをご説明してきました。それでは、なりすましメールはどのように回避すれば良いでしょうか。
ここで、送信ドメイン認証という技術を利用した、なりすましメールへの有効的な対策についてご紹介します。

SPF (Sender Policy Framework)

SPFは、DNS(Domain Name System)にあるIPアドレスをはじめとした各種情報を用いることで、メールの送信元ドメイン(メールアドレスの@以降の文字列)の偽装を検知する技術です。ドメインの情報が記載されている一覧のことは、SPFレコードと呼びます。
SPFを導入している受信者のメールサーバにメールが届くと、自動的に記載されているドメインのDNSに問い合わせを行います。もしDNS内に保管されているSPFレコードと送られてきたメールの情報が一致しなかった場合、そのメールはなりすましメールだと判断されるという仕組みです。
この時注意しなければならないのは、送信者のDNSにSPFレコードがなかった場合も怪しいメールだと判断されてしまうことです。そのため、メールを送信するサービスを行っている企業は、SPFレコードを適切に設置しておく必要があります。
SPFは他の対策と比較すると導入にかかるコストや時間が少なく済み、広く普及しているため扱いやすいことが特徴です。

DKIM (DomainKeys Identified Mail)・DMARC (Domain-based Message Authentication, Reporting, and Conformance)

SPFよりも高度なセキュリティツールとして、DKIMやDMARCがあります。
DKIMはなりすましだけではなくメール内容の改ざんも防ぐことができる技術であり、DMARCはSPFやDKIMと組み合わせて使うことで、自社になりすましたメールが受信者に届かないように送信側から設定できる技術です。
総務省が発行している「迷惑メール白書2021」によれば、2020年度にDKIMの電子署名が付与されていなかったのは平均約35%(=およそ6割以上のメールにDKIMが導入されている)であり、このような高度な技術も徐々に導入が進んでいることが分かります。DKIM・DMARCの普及率が高まるのに合わせ、主にメールを受信する側の企業であっても、これらのような技術に対して知見を持ち対応していくことが求められるでしょう。

まとめ

本記事では、なりすましメールとはどういうものでどのような種類があるのか、その手口や仕組みを含め対策を解説してきました。国や自治体、さまざまな企業がなりすましメールへの警戒を訴えかけていますが、巧妙な手口によって騙されてしまうケースは後を絶ちません。
なりすましメールの被害にあわないためには、本記事で紹介した有効な対策を導入することが望ましいでしょう。万一被害にあった場合にも、容易に請求に応じることのないよう心がけることが重要です。
安心してメールのやり取りができる環境を作りたい、なりすましメールを含むセキュリティの強化を図りたいなど、なりすましメールの対策でお困りの場合はセラクにご相談ください。
セラクでは、経験豊富なエンジニアが24時間365日の体制で、高品質なサポートをお約束いたします。

あわせて読みたい記事

  • Salesforce/Pardotの定着・活用・導入支援
  • クラウド導入・運用はプロにお任せ!
  • 統合人事システムCOMPANY支援
  • YoutubeチャンネルITサプリ