なりすましメールとは?発生する仕組みと対策について解説
メールは、ビジネスでは主流のコミュニケーションツールであり、プライベートにおいてもWebサービスの登録やメルマガ・その他企業からのお知らせを受信する時に使われるケースが多く、利用頻度の高いツールです。
そのため「なりすましメール」など、悪意を持ったメールが送られるケースも多々あります。今回は、なりすましメールについて分かりやすく解説し、送信者・受信者双方でできる対策を紹介します。
メールマーケティングを
Cuenote FCはハイスピードな大量配信を得意としながら、効果測定や自動処理も可能で大手企業にも選ばれるメール配信システムです。メールマーケティング機能も豊富で、配信数上限はなく送り放題です!
なりすましメールとは?
なりすましメールとは関係のない第三者が悪意を持って関係者のフリをしたメールを送ることです。受信者がなりすましを見抜けずにファイルのダウンロードや指示に従うことで、大切な情報が奪われることや金銭的な被害を受ける可能性もあります。
近年、なりすましメールの手口は高度化してきていることや、Webサービスの利用増加に伴いなりすましメールと近しいメールを受け取る可能性も増えていることから、被害が増加傾向にあります。
なりすましメールには主に2パターンある
本来のアドレス以外送られるパターン
本来送られているアドレスとは全く異なるか、似せたアドレスを用いて、実際に受け取るような文章を記載して送られるメールです。
メールの件名や内容は非常によく似せており、「アカウントの停止」「未払い」など緊急対応を求めることが多いでしょう。正しく受信した企業からのメールアドレスを見比べることで判別することができます。
本来のアドレスで送られるパターン
1つ目のパターンとは異なり「本来送られるアドレス」から送られてくるメールです。メーラーなどに表示される送信アドレスを見ても区別がつきづらいため、非常に見分けることが難しい手口です。
なりすましメールが発生する仕組みとは
メールの仕組みは、ハガキと似ています。ハガキは宛名や宛先を正しく記載しないと届けることはできませんが、差出人は本当の差出人の住所でなくとも送ることができます。
同じようにメールも、送信先のアドレスは正しく記載する必要がありますが、送信元は本当の差出人のアドレスではなくとも送ることができます。一般的にメーラーで送信する時には、自分のアドレスが自動で差出人に入りますが、メールの仕組み上は書き換えられてしまいます。
そのため、受信したときのメールアドレスが本来受け取りたいアドレスと同じであったとしても、なりすましメールである可能性があります。
なりすましメールによる手口
なりすましメールは、企業などになりすましたうえで、以下のような手口で悪さをしようとします。
フィッシング詐欺
メールだけでなく、本文のリンク先には実際のサイトに酷似させたページであるケースが多く、ログインや支払情報を入力させようとします。なりすましと気づかず入力してしまうと、その情報が漏れてしまい、アカウントを乗っ取られることや、お金を取られてしまう被害に合ってしまいます。
ウイルス感染による情報搾取など
なりすましメールに添付ファイルやリンク先にウイルスが仕込まれており、感染することで、そのPCにある情報が抜き取られる恐れがある他、そのPCを元に感染拡大を行おうとする可能性があります。
なりすましメールに限らず、身に覚えのない添付ファイルは開かないようにしましょう。
ワンクリック詐欺
ワンクリック詐欺とは、リンク先に飛ぶと「入会ありがとうございました」などの表示で不当な料金の請求をする詐欺です。支払い義務はないものの、慌てて支払ってしまうと詐欺にあってしまいます。
表示ではあたかも個人を特定したかのような脅し文句が表示される場合もあります。登録も利用もしていないサイトにてワンクリックで費用の支払い義務が発生することはありません。
なりすましメールを見破る方法
身に覚えのないメールかどうか
利用していないなど身に覚えがないメールは開かないようにしましょう。
また利用しているECサイトのメールだとしても、実際に購入していなければ身に覚えがないと言えるでしょう。
仮に身に覚えがあるかもしれない・・・と思った場合には、メールを開かず、ブックマークやアプリ、またはブラウザにてサービス名で検索してアクセスするなど別経路でアクセスし、同じ内容のお知らせがないか確認しましょう。
メール上で緊急な対応を求める場合は可能性高い
ワンクリックだけで支払いを求められることや、「アカウント停止されました」など緊急を要するメールでは、なりすましメールの可能性が高くあります。なりすましメールの手口の多くがメールから何かを行動させて何かを盗もうとするため、急がせる・慌てさせる・不安にさせる内容がほとんどです。
緊急な対応を求められた場合は、疑いましょう。
メールヘッダ―情報で確認する
身に覚えがあるかもしれないメールについては、「メールヘッダ―情報」で確認しましょう。メーラーなどによって見方は変わり「ヘッダー情報」や「メッセージのソース表示」などと記載されているところから見ることができます。
長い英数字の文字列ですが、spf=pass dkim=pass dmarc=passの記述がある場合には、なりすましメールではない可能性が高いです。
一方で、3つともfailの場合で、緊急性を求めているメールであればなりすましのメールが高いと言えます。dmarcの部分など1つのみfailの場合では企業側が対応できていないだけの場合もあるため、判断は難しいです。
Gmailでは「メッセージのソースを表示」より下記のように確認することもできます。
このspf dkim dmarcは、なりすましメールを防止するために、送信元のドメインを認証するものです。Passは認証が通った証であり、failは失敗していることを表します。そのため、全て認証が通っている場合には、なりすましメールではない可能性が非常に高いでしょう。
アイコンのロゴの有無を確認する
GmailやYahoo!メールなどにおいて、ドメイン認証を正しく行えている企業で、BIMIという技術の対応をされている場合には、下図のようにメールのアイコンが、頭文字ではなくロゴなどの画像に代わります。ロゴが表示されている場合には、正しいメールである可能性が非常に高いです。
なりすましメールを見分けるために企業がすべきこと
ドメイン認証を行う
上記で紹介した通り、ドメイン認証を行うことで受信者は、なりすましメールか確認する術ができます。そのため、SPF・DKIM・DMARCなどそれぞれ対応しましょう。
またDMARCは、noneではなくrejectなど高い設定を行うことをオススメします。
サイトにてなりすましメールの注意喚起を行う
もし、自社が送っているアドレスに偽装したなりすましメールが見られた場合には、サイトに注意喚起の情報を掲載しましょう。掲載内容は、なりすましメールの主な内容・近しい内容のメールを送っていない場合には、その旨を記載しましょう。
またSNSなど企業の発信ツールがあれば、活用することでお客様の被害を防止することに繋がります。
なりすましメールを防ぐ技術
送信元の詐称が、メールの仕組みによるものですが、この点の欠点を解消するための技術があります。
日本で広く普及している仕組みに「SPF(Sender Policy Framework)」
SPFは、送信元ドメインと送信元サーバーのIPアドレスを紐づける考え方で、IPの照合を行うDNSサーバーに予め送信元サーバーのIPアドレスを登録しておくことで、実際に送信が行われた際に受信側でDNSサーバーをルックアップし、送信元ドメインと送信元サーバーのIPアドレスが正しい組み合わせになっているかによって送信元が詐称されていないかを判定します。
SPFを適用させるには、一般には送信側でDNSサーバーのTXTとしてSPFレコードを記述すればよいので、比較的容易に実装が可能です。但し、レンタルサーバーなどの制約によりDNSサーバーのTXTの書き換え・編集ができないケースもあります。また、送信時のドメイン情報を参照する為、転送がかかっている場合には転送先で認証に失敗してしまうのが難点です(転送の際にエンベロープFromを転送元のアドレスに書き換える必要がある)。
SPFの欠点を補うために構築されたDKIM(DomeinKeys Identified Mail)
DKIMでは、認証に「電子署名」を用います。電子署名は、送信側サーバーによって自動生成されるもので、実際のメールのヘッダー情報や本文を基に生成されることから1to1の照合が可能です。DKIMによって電子署名が施されたメールを受信したサーバーは、DNSルックアップにより送信元が登録している公開鍵を見つけ出し、それを用いて電子署名に含まれる暗号データ(シグネチャヘッダー情報)を復号(解錠)します。その上で、復号された暗号データがそのメールのヘッダー生成されたものであると確認できて初めて「送信元の詐称がされていない」と判定するに至ります。
DKIMの利点として、エンベロープ情報に依拠しないため転送がかかっているメールであっても認証が可能である点が挙げられます。一方で、メールのヘッダー及び内容から署名を生成しているので、メーリングリストの仕様などによりヘッダーおよび内容が改変されてしまうと認証が行えなくなるという短所が存在します。
DMARC(Domain-based Message Authentication, reporting, and Conformance)
DMARCは、SPFやDKIMの認証を行った上で、不正なメールを把握し隔離・拒否を指定することのできる仕組みです。拒否する設定まで行うことができれば、なりすましメールは大きく抑えることができます。一方で、自社が送っているメールであっても認証に不具合が発生すると正しく届かなくなるデメリットがあります。
ドメイン認証にも課題はある
いずれの認証方式にも言えることはあくまで「送信元が詐称されていないか」を判断するのみであり、そのメールの中身に対する判断には関与しないという点に注意が必要です。極端な話をすれば、仮になりすまされていなかったとしても内容が不審であったり意図しない内容であったりした場合には、受信側にとっては立派に「迷惑メール」となる可能性があるわけです。こうした観点から、迷惑メールへの対策としてはこれらの認証技術に加え、送信者レピュテーションなど複合的な判断に基づく処理ポリシーの構築が推奨されています。
この「送信者レピュテーション」に関わる技術として導入が進んでいるのが「迷惑メールの特徴に似ているメール」を自動で判別する仕組みです。受信者個人の判定や傾向に依拠しないことから、未知の送信元やメール内容にも有効に作用するため、送信元認証と併せて活用することで迷惑メール被害をより効果的に防ぐことが可能になります。