なりすましメール被害を防ぐ、見分け方と対策手法を紹介

　電子メールの普及と共に顕在化した迷惑メールの問題。最近では、真正な送り元や内容を騙った「なりすましメール」による被害が急増しています。今回は、個人間のみならず法人間でも起こり得るなりすましメールの被害の実態とその対策を、メール送受信の技術紹介を交えて取り上げます。

【目次】

　・なりすましメールの被害は後を絶たない

　・なりすましメールの種類と手口

　・電子メールは構造上送信元を詐称できてしまう

　・なりすましメールを防ぐ技術

　・なりすましメール被害への対策

　・おわりに - 送受信双方での取組が重要

なりすましメールの被害は後を絶たない

　なりすましメールとは、実在する企業や団体などを騙り送りつけられる迷惑メールを指します。なりすましメールは多くの場合、フィッシング（詐欺）サイト等への誘導のためにURLリンクが含まれており、これをクリックすることでネットワークを経由して情報を窃取されたりコンピューターウイルスに感染したり（あるいはその両方）といった被害が多く発生しています。FBI（米連邦捜査局）によると、2019年の1年間にアメリカ全体で発生したサイバー犯罪のうち、約半分にあたる2000億円近くがなりすましメール（ビジネスメール詐欺、BEC）による被害であったことが報告されています。

　なりすましメールの被害自体は、メールコミュニケーション本格的に普及し始めた1990年代から発生していましたが、時代の変遷やデジタルコミュニケーションの進化に伴って、その手口も様々に変化しています。

なりすましメールの種類と手口

　一口に「なりすましメール」と言っても、実に様々な類型が存在しそれぞれに特徴も異なります。

ビジネスメール詐欺（BEC）

　日本を含む世界で昨今急速に拡大しているなりすましメールのパターンです。取引先などビジネス上の関係者を装って支払いを指示したり、「見積書」等ビジネス文書を模した名称の添付ファイルを送り付け、コンピューターウイルスへの感染や情報の窃取を試みるものです。

　従前は企業の公開アドレス（お問い合わせ用メールアドレスなど）宛に無作為に送られるものが多かったのですが、最近の傾向として、実在するビジネスメールアカウント情報（勤務先、メールアドレスなど）を何らかの手段で入手し、そのアカウントの送信履歴などから実際に利害関係にある宛先に対し一斉になりすましメールを送り付ける無差別攻撃が多く発生しています。この形式の傾向として

• ・署名が本物のメールと同じかほぼ同じ（擬態させている）
• ・「見積書」「議事録」等ビジネス上利用され得るファイル名の添付ファイルを同送
• ・本文が短く、平易な日本語で書かれている（細かな表記上の誤りを含む）
• ・[緊急][重要]など急ぎの対応が必要であるかのように件名を演出する

ことが挙げられています。加えて従来型の詐欺メールと違い、ターゲットの精査などに数カ月や場合によっては数年の時間をかけて準備し、長期休暇前後など企業の人員が手薄になりやすい時期を狙って攻撃を仕掛ける等、手口が巧妙かつ周到になっていることも特徴です。日本国内でも、大手企業を標的としたなりすましメールにより数十億円規模の詐欺被害が発生しており、もはや他人事では済まされない時代となっています。

ECサイト、カード会社等を騙るフィッシングメール

　「あなたのアカウント情報は凍結されています」「●●の料金が未払いとなっています」といった文面で、本物そっくりのHTMLメールを模して送られるタイプのなりすましメールも後を絶ちません。昔は「有料サイトの利用料」等、心当たりがあるか無いか判断できる内容が多かったですが、オンラインサービス・オンライン決済が普及した今では「月額利用料」「年会費」等の案内や請求を騙ることで「自分も使っているサービスだ」と誤認してしまい、個人情報やクレジットカードの番号などが窃取されるケースも増えてきています。セキュリティ強化の一環として、登録情報の定期的な確認やパスワードの変更などを促すサービスが多くなったことで、こうしたなりすましメールの表題にも使われるようになったのは皮肉ではありますが...

　また、EC（電子商取引）経由での商品購入が当たり前となった現代を反映してか、ECサイトの購入履歴を模した内容（購入商品名、金額、配送先、配送日など）で支払いを求めるなりすましメールも確認されています。こうしたメールに使われている情報も、先ほどのBECの例と同様に何らかの手段で入手したものとみられています。

実在しそうで実在しない送信元を騙る、BtoBなりすましメール

　ビジネス上のハウツーやテクニック、就職・採用活動の支援や情報提供などと称してそれらしい文面で送られるなりすましメールも多く存在します。署名には「●●事務局」等実在しそうな名称が記載され、配信停止手続き用としてURLが貼られているものもありますが、よくよく見ると本文中で繰り返し貼られているURLと全く一緒だった、というケースもあります。念のため巻末の名称をWebで検索してもそれらしい会社名はヒットせず、送信元ドメインも見慣れない（Webサイト等にたどり着かない）ものであることが殆どです。

　最近こうしたなりすましメールが増えている背景としては、Webメールサービス事業者においてビッグデータ分析による「なりすましメールに使われやすい件名や文体」の自動解析が進んできたことがあります。従来と同じフィッシング誘導の本文ではサーバー段階で弾かれるようになってきたことから、一般のビジネスメールやBtoBのメールマガジンでも使われるような件名や文体を偽装し、自動解析の網をかいくぐる必要が出てきたというわけです。

社会情勢に関連したなりすましメール

　「日本●●機構」や「●●金支給センター」等、あたかも公的機関であるかのような送信元名を騙るなりすましメールも昔から後を絶ちません。

　メールの一斉配信ツールを使ったことのある方ならご存知かと思いますが、送信元の名称は任意に設定することが出来ます。この手のなりすましメールでは、送信元名を企業や団体、公的機関など信頼がありそうな名称に巧妙に偽装して送られてくるため、受信側も送信元メールアドレスそのものへの注意がおろそかになり、結果として記載内容を信頼してしまう可能性が生まれます。

　特に最近では、社会情勢に乗じて「給付金の支給が決定しましたので、こちらから手続きしてください」や「緊急●●対策が閣議決定され、それによる事業者補助がスタートしました」（実際に何らかの閣議決定が行われたことは正しいが、誘導されている先はフィッシングサイト）といった内容のなりすましメールが増加しています。実際に行われている経済対策と誤解させるなど手口が悪質で、こうした内容のメールには特に注意を払う必要があります。掲載されている組織や団体の名称でWeb検索を行うと、ヒットしないかなりすましメールに関する注意喚起の告知ページが出てくるので、記載内容が真正かどうか確認を行ってから対応することが出来ます。

電子メールは構造上送信元を詐称できてしまう

　電子メールには2種類の「Fromアドレス」と「Toアドレス」があり、それぞれを別個のものに設定することが可能となっています。

エンベロープFrom／Toアドレス

　エンベロープ（envelope）とは「封筒」という意味です。メールを手紙に例えたとき、封筒に記載されている差出人及び宛先のアドレスのことを指します。実際の手紙同様、メールサーバー＝郵便局は封筒の記載情報を基にメールを届けます。

ヘッダーFrom／Toアドレス

　メール本文内のヘッダーに記載される差出人及び宛先のアドレスを指します。エンベロープFromと異なっていても仕組み上問題ありません。

　そもそもなぜ2つのFrom／Toアドレスが存在するのでしょうか。以下のケースをご紹介します。

　一斉配信・大量配信の目的で外部のメール配信システム（サーバー）を利用する場合、差出人のアドレスは自社であっても実際にメールサーバー間の送信を取り持つのは配信システムベンダーとなるため、実際に相手先サーバーに対し表示させるエンベロープFromは配信システム側のアドレスになります。これは万が一何らかの理由でメールの送信がうまくいかなかった場合に、その旨を通知する先として配信システム側のアドレスを表記する必要があるためです（実際の送信作業に関わっていないメッセージの送り元＝ヘッダーFromにその旨を通知しても対応が出来ないため）。

　また、Toアドレスが2つあるのも同様で、送信サーバーから配信処理を受け取るサーバーと最終的な宛先が異なる場合に対応するものです。具体的には、受信側の転送設定やメーリングリスト宛の送信等、受け取った後でさらに異なる宛先への配信を行うケースで適用されます。

　このように、2つのFrom・Toアドレスが存在するのは、メールコミュニケーションの進展に伴う技術的制約を回避することが目的です。しかしながら、この仕組みを逆手に取り「実際と異なる送信元を騙り、真正な目的・内容に見せかける」迷惑メールが送られるケースが多く発生しています。

なりすましメールを防ぐ技術

　送信元の詐称が、メールの技術的特性に起因することは先ほど述べた通りです。では、この点を解消するための技術にはどのようなものがあるのでしょうか。

　日本で広く普及している仕組みに「SPF（Sender Policy Framework）」があります。

　SPFは、送信元ドメインと送信元サーバーのIPアドレスを紐づける考え方で、IPの照合を行うDNSサーバーに予め送信元サーバーのIPアドレスを登録しておくことで、実際に送信が行われた際に受信側でDNSサーバーをルックアップし、送信元ドメインと送信元サーバーのIPアドレスが正しい組み合わせになっているかによって送信元が詐称されていないかを判定します。

　SPFを適用させるには、一般には送信側でDNSサーバーのTXTとしてSPFレコードを記述すればよいので、比較的容易に実装が可能です。但し、レンタルサーバーなどの制約によりDNSサーバーのTXTの書き換え・編集ができないケースもあります。また、送信時のドメイン情報を参照する為、転送がかかっている場合には転送先で認証に失敗してしまうのが難点です（転送の際にエンベロープFromを転送元のアドレスに書き換える必要がある）。

　こうしたSPFの欠点を補うために構築されたのが、DKIM（DomeinKeys Identified Mail）と呼ばれる送信元認証の仕組みです。

　DKIMでは、認証に「電子署名」を用います。電子署名は、送信側サーバーによって自動生成されるもので、実際のメールのヘッダー情報や本文を基に生成されることから1to1の照合が可能です。DKIMによって電子署名が施されたメールを受信したサーバーは、DNSルックアップにより送信元が登録している公開鍵を見つけ出し、それを用いて電子署名に含まれる暗号データ（シグネチャヘッダー情報）を復号（解錠）します。その上で、復号された暗号データがそのメールのヘッダー生成されたものであると確認できて初めて「送信元の詐称がされていない」と判定するに至ります。

　DKIMの利点として、エンベロープ情報に依拠しないため転送がかかっているメールであっても認証が可能である点が挙げられます。一方で、メールのヘッダー及び内容から署名を生成しているので、メーリングリストの仕様などによりヘッダーおよび内容が改変されてしまうと認証が行えなくなるという短所が存在します。その点、SPFはメールの中身自体を対象にしないことから、この両者を併用することで欠点を補いスムーズな認証を可能にする「DMARC（Domain-based Message Authentication, reporting, and Conformance）」という新たな認証方式も確立されています。

　但し、何れの認証方式にも言えることはあくまで「送信元が詐称されていないか」を判断するのみであり、そのメールの中身に対する判断には関与しないという点に注意が必要です。極端な話をすれば、仮になりすまされていなかったとしても内容が不審であったり意図しない内容であったりした場合には、受信側にとっては立派に「迷惑メール」となる可能性があるわけです。こうした観点から、迷惑メールへの対策としてはこれらの認証技術に加え、送信者レピュテーションなど複合的な判断に基づく処理ポリシーの構築が推奨されています。

　この「送信者レピュテーション」に関わる技術として導入が進んでいるのが「迷惑メールの特徴に似ているメール」を自動で判別する仕組みです。受信者個人の判定や傾向に依拠しないことから、未知の送信元やメール内容にも有効に作用するため、送信元認証と併せて活用することで迷惑メール被害をより効果的に防ぐことが可能になります。

なりすましメール被害への対策

　ここまで紹介してきたように、送信元の詐称に対する技術的対策はかなり進展しています。しかしながら、システム上の制約や環境によっても完全に防ぐことは難しく、また迷惑メールの送信側もこうした規制網をかいくぐるべく様々な工夫を凝らしています。不審なメールを受け取ってしまっても被害を防げるかどうかは、受信者による冷静かつ適切な対応がやはり不可欠です。

　迷惑メールの多くは、本文中のURLのアクセスや添付ファイルの開封などを通じフィッシングやウイルス感染を引き起こすものです。大前提として「その送信元のメールとしては見慣れないドメイン」「本文中に同じURLが繰り返し出てくる」「日本語が不自然」「署名の記述情報が不十分」といった点に当てはまる場合、迷惑メールを疑った方がよいでしょう。その上で、URLについては記載のテキストリンクと実際の遷移先に相違が無いか（あたかも本物に見えるURL文字列を偽装してフィッシングサイトへのリンクが張っている場合もある、マウスオーバーでリンク先のURLが参照できるのでそれで確認）を確認するようにしましょう。添付ファイルは受信したコンピューターのみならずそのコンピューターとネットワークでつながる全ての機器に被害が及ぶ可能性があるため、送信元を確認できない場合には開かない、といった対応を取る必要があります。

　ビジネスメールを装った金銭窃取目的の詐欺メールの場合は、本当に記載された企業や担当者からの依頼であるか、電話などにより確認を行うのが安全です。先に述べた通り、実際には企業が手薄になるタイミングを狙って送られることが多いですが、担当者が連絡のつかない状況で本当にそのような指示をしているケースは考えにくいことから、確認が取れるまでは送金・振り込みなどのアクションは行わないのが原則です（メール以外の振り込め詐欺などでも言えることですが）。

　また、実在するWebサービスや金融サービスを装ったメールが来た場合、そのメールから直接ログイン画面や情報入力画面に進ませる誘導が行われているケースが大半です。遷移先のWebページも巧妙に作られていますが、微妙にURLが異なっていたりするのでよく確認することが必要です。尤も、普段から直接Webサイトにアクセスしログインを行うようにし、「アカウントが凍結されています」等と謳いメールからのアクセスを促された場合でも、先ずはいつも通りにWebサイトにアクセスしそれが嘘であることを確認するのが良いでしょう。

おわりに - 送受信双方での取組が重要

　今回は、なりすましメールによる被害と、迷惑メール対策のトレンドについて紹介しました。メールの世界では便宜上送信元情報を書き換えることができるため、どうしてもなりすましを防ぎきれないのが実情です。その中でも、いかにして迷惑メールを減らしクリーンなメール送受信環境を保てるか、技術的なアプローチも絶えず進化しています。送信側として、また受信側として出来る対策を心がけながら、コミュニケーションチャネルとしてのメールが健全な発展を続けてゆくことを願ってやみません。