お役立ちコラム

なりすましメールとは?例から見る見分け方、確認と対策方法をご紹介

  • このエントリーをはてなブックマークに追加

なりすましメールとは?例から見る見分け方、確認と対策方法をご紹介

日々メールボックスに届くメールのなかには、関係者を装った「ウイルス」を感染させることが目的のメールや、フィッシング詐欺目的の「なりすましメール」が紛れ込んでいることがあります。今回はなりすましメールがなぜ送られてくるのか、メール配信の仕組みとともにご紹介します。

目次

    なりすましメールとは

    なりすましメールとは、差出人のアドレスと違うアドレスを設定して、メールが関係者から届いたように思わせるメールのことです。そして、受信者を勧誘したり、偽物のWebサイトに誘導したりしてクレジットカード番号や個人情報を盗み取るフィッシング詐欺などが目的となっています。メールボックスに表示される件名や内容が明らかに怪しければ警戒するのでメールを開封することはないと思いますが、差し出し主に関係者の名前やアドレスが書いてあった場合、安心して騙されやすくなってしまいます。

    記憶に新しいところでは、2017年12月になりすましメールによって日本航空(JAL)が約3億8000万円を騙し取られた事件が起きました。また、翌年の2018年にはトレンドマイクロによると国内企業の最高経営責任者(CEO)を装った詐欺メールが7月に初めて確認され、同様の詐欺メールが複数の企業に送信されていたことがわかっています。このようなビジネスメール詐欺(Business Email Compromise・BEC)は今後も増えると見込まれていますので注意しましょう。

    なりすましメールの仕組み

    似たような名前などはともかくどうして全く関係者と同じ名前やアドレスが使われるのでしょうか。「乗っ取り」など何らかの原因で関係者のメールアドレスが漏れてしまったことが原因の場合もありますが、実はなりすましメールはメールアドレスが漏れていなくてもメールの仕組みさえ理解していれば実はとても簡単に作成することができてしまいます。なりすましメールの被害に遭わないためにまずはメールの仕組みについて理解しましょう。

    メールの仕組み

    メールは設計上「実際の送信者」と「メールに表示される送信者」が異なることが許されています。その仕組みを理解する上で想像してもらいたいのが手紙です。封筒に書かれている名前と中の手紙に書かれている名前が異なる場合があると思います。例えば、〇〇株式会宛に新商品発表会の案内を送るとします。その場合封筒には「〇〇株式会社様」と書き案内状、もしくは送り状には「〇〇株式会社 A様」のように書くことがあります。このようにすると、封筒の名前と中身の名前が異なるという現象が起きます。実はメールでも同じことが起こり得ます。

    メールの世界では封筒の名前にあたるものをエンベロープ情報(エンベロープは英語で封筒という意味)と言います。そして案内状や送り状のように中身にある名前にあたるものをヘッダー情報と言います。実際にメールボックスに表示されているのはヘッダー情報のみですが、それではエンベロープ情報はどこへ消えてしまったのでしょうか。実際は消えているのではなく、表示されていないだけで情報自体は残っています。封筒は届いてしまうと役割を果たして、シュレッダーにかけてしまうか残しておいてもまじまじとみることはないはずです。メールでも同じようなことが言えます。メールが届いてしまえばエンベロープ情報の役割はないので、プログラムが情報を消してしまう場合もありますし、見せる必要がないので通常は表示されません。メールを送る際に使用するプロトコル(通信規約)であるSMTPでは差出人のアドレスを自由に設定することができる特性と、このようなメールの仕組みを利用することで全くの他人があたかも関係者のように装いなりすましメールを送信することが可能になります。

    なりすましメールの手法

    なりすましメールには様々な手法がありますが、なかでも代表的なものが、次に紹介する3種類です。怪しいメールを受信した際は、一度立ち止まって本物かどうかを確認することが大切です。

    フィッシング詐欺

    有名企業や著名人になりすまして、受信者の個人情報を入手する目的で行われる詐欺です。メールの本文に企業のWebサイトによく似せたサイトのリンクを記載して、クレジットカード情報やパスワードなどの機密性の高い情報を盗みます。本物と見分けがつかないほど完成度の高いサイトも多いので、誘導されるがままにフォームに情報を入力してしまい、被害に遭う人が後を絶ちません。

    知らないうちに銀行の預金を引き出されたり、勝手にパスワードを変更されて会員サイトのログイン情報を把握できなくなったりと、影響は広範囲にわたります。フィッシング詐欺のメールは違和感のないメールアドレスから送信されているように見えるので、ひと目で見抜くのは難しい場合が多いです。自社のアカウントを乗っ取られて、取引先に被害をもたらすケースも少なくありません。

    ワンクリック詐欺

    メールの本文に書かれているURLをクリックすると、架空請求に対する支払いを促すページが表示される詐欺です。存在しない契約を成立したかのように見せかけて、「ご契約ありがとうございました。本日より○日以内に初期手数料をお支払いください」「ご入金は○月○日までにお願いいたします」などのメッセージを表示することで、受信者を不安に陥れるのが目的です。なかには巧妙なものもあり、まるで受信した側が自らの意思で契約に同意したかのように思い込ませるページもあります。

    キーロガー

    キーロガーそのものは「キーボードの入出力を記憶するソフトウェア」を指します。その特徴から「キーボードの入力を第三者が監視し、操作から導き出されたパスワードなどの個人情報を不正に盗む詐欺」をあらわす言葉としても使われるようになりました。なりすましメールにソフトウェアをインストールさせるURLや添付ファイルなどを仕込み、操作を外部から覗き見ることで第三者が本来知り得ない情報を取得します。

    なりすましメールの見分け方

    悪意のあるなりすましメールには、いくつかの代表的なパターンがあります。
    例えば誰もが名前を知る有名ブランドや会員数の多いサービス、銀行などになりすまして連絡してくるケースはよくみられます。
    配送業者を名乗って「配達状況を確認してください」などの文面とともにURLを記載したり、大手通販サイトの名前で「クレジットカードの情報が有効ではありません」と偽のサイトに案内し、カード番号を送信させたりするなどのパターンです。ログイン画面は精巧に作られているため、見た目だけで偽物を見分けるのは困難を極めます。
    送られてきたメールの内容を安易に信用せず、機密情報の入力を求められた場合はなりすましの可能性を疑い、被害が報告されていないかを調べることが大切です。

    誘導先のURLを確認するのも有効です。「amazoon.com」「amazon-place.com」など、よく見ると本物とは異なるアドレスが使われている場合は、偽造されたサイトだと判別できます。なるべくメール内のリンクは使用せず、サーチエンジンの検索結果やブックマークから訪問すると安全性を高められます。

    「今なら全員に1万円プレゼント」「必ず○○が当たる!」などのキャンペーンも、詐欺によく使われる手口です。応募する前に、案内されたキャンペーンが本当に行われているのかを確認する習慣をつけると良いでしょう。

    配配メールのセキュリティ体制の詳細についてはこちらのページをご覧ください。

    関連記事はこちら配配メールのアクセス管理・セキュリティ体制

    なりすましメールへの対策

    なりすましメールによる被害を防ぐためにできる代表的な対策には、次の3つがあります。

    リンクや添付ファイルを開かない

    なりすましメールは、あたかも受信者の知り合いやよく知る企業であるかのようになりすまし、添付ファイルやリンクを開かせてデータを盗み取ったり架空請求への支払いを促したりすることを目的としています。そのため、メールを受信した際は安易にリンクや添付ファイルを開かないことが大切です。

    添付ファイルの中にはコンピューターやネットワークにウイルスを感染させる悪質なプログラムが隠されている場合もあるため、特に注意が必要です。

    メールの内容やリンク先が公式か確認する

    一見して「送り主に公式の名前が表示されているから」と安易に信頼せず、メールの内容やリンク先が本当に公式のものかどうかを確認する習慣を身につけましょう。公式と同じような体裁でも、よく見るとURLが「amazone.com」のように公式サイトのものとはわずかに異なるケースがあるためです。

    加えて、同様に「Amazone」のようにメールの送り主の表示が公式とは異なっていたり、本文に書かれている日本語がどこか不自然に感じられたりすることもあります。

    SNSで身元がわからない相手からの申請は疑う

    SNSで身元がわからない相手からフォロー申請や友だち申請が来たときは、すぐには許可をせずに不正目的でないかを見極めましょう。
    身元が明らかでない相手からの申請を簡単に許可してしまうと、アカウントが乗っ取られて登録済みのメールアドレスをなりすましメールに使われてしまう危険性があるためです。

    なりすましメールから技術的に身を守る方法

    メールの仕組みを理解したならばエンベロープ情報とヘッダー情報の関係性が正しいのか正しくないのかを確かめれば良いのではと思いませんか?届いたメールがなりすましかどうかを判断するための情報を受信者がわかるようにする仕組みが考え出されるようになりました、これを「送信ドメイン認証」と言います。ここでは、なりすましメールから技術的に身を守る「二段階認証」と、2種類の「送信ドメイン認証」をご紹介します。

    二段階認証

    二段階認証とは、ネットバンキングなど決済にかかわるネットワークサービスにログインする場面で、IDとパスワードを入力する通常の認証の他にもう一段階別の認証方法を設けてセキュリティを高める方法です。

    会員登録済みのメールアドレスや電話番号に有効期限が短いワンタイムパスワードや認証コードを送信し、ログイン画面でそのコードを入力するとログインが可能になる仕組みとなります。二段階認証を設定しておくことで、なりすましメールによってパスワードを不正に盗み取られてもログインを防止することが可能です。

    SPF(Sender Policy Framework)

    SPFは、「送信者なりすまし」といった不正を防ぐ事を目的として、メールの送信元ドメインが正しいかをDNS(Domain Name System)を用いて検証するセキュリティ技術(ドメイン認証)です。先ほどふれましたが、メールの送信時に通常使われるプロトコルであるSMTPでは発信元アドレスは送信者が自由に設定することができてしまいます。このことを利用して、迷惑メール業者は、メールの配信効果を高めるために送信元アドレスのドメイン名で社会的信頼度の高い組織になりすますことでメールサービスのフィルタに引っかからないような配信を行おうとします。これが「送信者なりすましメール」です。

    ただし、クラウドサービスなどの外部環境に置かれたシステムを介してメール送信を行う場合、自社本来のドメインとは異なる送信元となりえます。こういった例外的な場合には、送信元のDNS(Domain Name System)サーバー上に自分のIPアドレスが記述されたSPFレコードを記述する必要があります。

    SPFレコードの記述を行うと、受信者は、SPFに対応した受信サーバーであれば、SPFレコードに記述されたIPのドメインからのメールかどうか(予め許可されたものかどうか)を判別できるようになります。もし、送信元のドメインがSPFレコード内で許可されていない場合には、送信ドメインの偽称つまりは「送信者なりすまし」が行われたと判断して、受信者側で受信を拒否するなどの処理を行うことができます。

    DKIM(Domainkeys Identified Mail)

    DKIMとは「送信者なりすまし」や「メール内容の改ざん」といった不正を防ぐ事を目的とした、電子署名によるセキュリティ技術(送信ドメイン認証)の1つです。
    メールの送信者は、他者に公開する「公開鍵」と自分しか知らない「秘密鍵」のペアを予め持っており、メール送信時には、この「秘密鍵」で署名します。対して、メールの受信者は、「公開鍵」を送信者へ問い合わせて取得し、署名を検証します。このような電子署名の仕組みを取る事によって受信者は、メールの内容が送信者が作成し送信したものだと分かります。また、途中の第三者による改ざんの有無も確認することができます。

    DKIMによる電子署名には、「公開鍵」の配置場所の違いから以下の2種類の方法があります。

    ・作成者署名

    送信者のFromアドレスと同じドメイン上にある「公開鍵」で署名する方式です。送信者が配信したメールとの証明できるので、より信頼性の高いメールとなります。

    ・第三者署名

    送信者のFromアドレスとは異なるドメイン上にある「公開鍵」で署名する方式です。クラウド型のメール配信サービスなど、メール配信機能を持った外部システムが提供する署名を利用する事から、自社で署名を用意しなくても良いというメリットがあります。その反面、厳密に言えば「送信者の署名」ではないため、信頼性という点において作成者署名に比べ劣ります。

    DMARC

    DMARCはSPFとDKIMを補うための技術で、認証失敗したなりすましメールをどのように取り扱うかを送信者側にて指定できるようにするといった役割を担います。。そのため、認証に成功したメールのみを送信し、失敗した場合は受信者に拒否させて受け取らせない設定が可能になります。

    また、DMARCには認証結果を送信者が受信者側から受け取れるようにする役割も担います。そのため、自社がなりすましの被害に遭っている事実をスムーズに把握できるのもメリットです。他にも、第三者署名(代理署名)を許容しないといった役割も持っています。SPF認証とDKIM認証の詳しい違いについて知りたい方はこちらの記事もご覧ください。

    関連記事はこちらなりすましメールに注意!SPF認証とDKIM認証の違いとは


    SPF認証とDKIM認証の認証方法について知りたい方はこちらの記事もご覧ください。

    関連記事はこちら送信ドメイン認証(SPF・DKIM・DMARC)とは?認証方法や仕組みを解説

    まとめ

    今回は、なりすましメールがどのような仕組みで送られてくるのかと、その対応する仕組みについてご紹介してきました。冒頭でもご紹介したとおり、昨今は大手企業が狙われるなりすましメールによるビジネスメール詐欺の事件が実際に起きていますし、そのようなメールが確認されていることは事実です。自社のアドレスが、なりすましメールに利用されないようにするためにもメール配信サービスを利用する際は「送信ドメイン認証」の仕組みに対応しているかどうかを確認しましょう。

    「配配メール」は、企業の集客・販促活動に携わる方のメールマーケティング業務を支援するサービスです。
    シンプルな配信操作、見やすい成果指標レポート、メールの反応による見込み客の可視化、サイト来訪通知といった機能によりメールマーケティングの実践をサポートします。
    また、機能の提供だけではなく、ナレッジ提供や個社の運用に踏み込んだ手厚いアフターフォローにより、お客様の販促の成功に向け伴走します。
    メール配信の初心者から本格的なメールマーケティングの実践を目指している方まで、どなたでも安心してお使いいただけるサービスとして、お客様に長く愛され、98%の継続利用率を維持しています。

    記事執筆者紹介

    記事執筆者 山盛 有希子紹介
    山盛 有希子著者山盛 有希子のXへのリンク
    株式会社ラクス ラクスクラウド企画部 オンラインプロモーション課

    自動車部品メーカーで広報として3年間従事し、2020年6月にラクス入社。オンラインマーケティングチームに所属し、メルマガ運用やメルラボの企画・コンテンツ作成を担当。社内外向けにセミナーや勉強会を行い、メールマーケティングのナレッジを提供している。

    無料でもらえる

    今なら売上UPノウハウが詰まった
    メルマガ成功事例集をプレゼント!

    資料請求・お問い合わせ

    03-6675-3612

    受付時間 | 平日 9:00~18:00 (土日祝日除く)

    ページトップへ