偽のメール: 偽のメールアドレスを見分ける方法は？

意図して使っている場合の注意点と、悪意のメールの見分け方

2024年1月1日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 Fake Emails: How to Spot Fake Email Addresses? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

毎日、1,110億通のメールが送信されますが、正規の通信と詐欺的な通信を区別することは難しい場合があります。
労働者の94％は、本物のメールアドレスと偽のメールアドレスを見分けるのに助けが必要です。
メールアドレスが偽物かどうかをすばやく判断する方法は何でしょう？

このガイドでは、偽のメールについての必要な知識と、偽のメールアドレスを見分けるためのツールを提供します。
偽のメールを見分ける方法を学ぶことで、正当な個人との通信を確実にし、サイバー犯罪者の犠牲になることを避けるための必要な手順を踏むことができます。

偽のメールとは何ですか？

偽のメール、しばしばフィッシングメールとして言及されるものは、受信者を騙して個人情報、財務データ、ログイン情報などの機密情報を明かさせるために設計された詐欺的なメッセージです。
これらの欺瞞的なメールは、信頼できる組織のブランディングやスタイルをまねて説得力があるように見える場合がありますが、通常、悪意のある目的を果たします。

偽のメールの究極の目的は、悪意のあるリンクをクリックする、有害な添付ファイルをダウンロードする、または機密情報を提供するなど、個人を騙してサイバー犯罪者に利益をもたらす行動をとらせることです。
偽のメールを識別し、それから自身を守ることは、オンラインのセキュリティとプライバシーを維持する上で重要です。
次のセクションでは、偽のメールアドレスに騙されないために検出し避ける5つの重要な方法を探ります。

しかし、すべての偽のメールが悪いわけではありません！
偽のメールは、悪意のない目的で意図的に作成されることもあり、サービスやツールにアクセスしたり、個人情報を開示することなくWebサイトを訪問したりするために使用されます。
また、これらを作成するために役立ついくつかの合法的なサービスや、あなたのデバイスの機能もインターネット上には多数存在します。

偽のメールアドレス対一時的なメールアドレス

偽のメールと使い捨てメールアドレスの主な違いは、所有者の意図にあります。
偽のメールは、フィッシング詐欺を通じて疑いもしない被害者を欺く意図で作成されますが、一時的なメールアドレスは、本当の身元を使用せずにサービスにサインアップするためによく使用される一時的なメールアドレスです。

一時的なメールアドレスはどのように使用されるか？

使い捨てメールは、Netflix、Amazon、Hulu、HBO MaxなどのさまざまなオンラインサービスやOTTプラットフォームの無料試用期間を延長するためにユーザーによって使用されます。
通常、オンラインプラットフォームは特定のユーザーに対して10〜15日の短い試用期間を提供し、サービスは無料プランでユーザーごとに限られた数のクレジットを提供します。
これが終了すると、彼らは同じサービスにアクセスしたり、より多くの機能を解除したりするためにサブスクリプションを支払う必要があります。

一時的または使い捨てメールアドレスを使用することは、この問題を回避し、試用期間を延長する簡単な戦術です。
これは欺瞞的であり、推奨されませんが、しばしば無害です。

また、使い捨てのメールアカウントは、フィッシングメッセージを送信するためにしばしば偽造されることも重要です。
これらの侵害されたアカウントは、犯罪の天才を助けることになる不本意な参加者となります。

偽のメールアドレスをどのように作成しますか？

上記の理由から、偽のメールアドレスを作成することは絶対に必要な場合を除き、推奨しません。
偽のメールを作成する方法はいくつかあります。
Appleの「Hide My Email」機能、Firefox Relay、サインアップなしで簡単に有効な偽のメールアドレスを生成できる他のWebサイトなどがあります。

1. Appleの「メールを非公開」機能

Appleユーザーは、互換性のあるツールやWebサイトにサインアップしようとするときに、iCloudでAppleの「メールを非公開」機能を簡単に使用できます。
このツールは、この機能をサポートするサービスにアクセスするために使用できるメールのエイリアスを作成するAppleの機能に統合されています。
iCloudアカウントを使用して互換性のあるサービスにサインアップしようとするとき、実際のメールアドレスを入力する代わりに、「メールを非公開」オプションを選択して自動的にエイリアス（Appleがあなたのために一意で任意のメールアドレスを作成します）を生成してサインアップできます。

2. Firefox Relay

Firefox Relayは、Mozilla FirefoxWebブラウザの偽のメールアドレス管理拡張機能であり、5つの偽のメールアカウントを無料で生成でき、さらに有料のプレミアムサブスクリプションを取得すると無制限のアドレスを作成できます。
これを有効にするには、Relayブラウザ拡張機能をダウンロードしてWebブラウザでアクティベートするだけです。
これに続いて、メールを使用してサービスにサインアップしようとするたびに、Relayアイコンを見つけることができます。
選択すると、拡張機能によって生成されたランダムなメールアドレスでアドレス宛先ボックスを簡単に入力できます。

3. 偽のメールジェネレーター

一時的なメール生成サービスは、複数のステップを踏むことなく、またはサインアップすることなく多くの偽のアドレスを簡単に入手する方法です。
選択肢はインターネット上で容易に利用でき、いくつかは以下の通りです。

• Temp Mail
• Generator.email
• Emailfake.com
• Maildrop
• addy.io

これらはほんの一例です！
これらのサービスのほとんどは完全に無料で、数秒で複数のアドレスを生成できます。
さらに詳しく探ってみてください。

偽のメールアドレスを使用するデメリット

一時的なメールやサービスを使用することにはいくつかの欠点があります。
それらのいくつかを見てみましょう。

• Webサイトが検出してブロックリストに載せることがあります。
• これらのアドレスを多数保持している場合、資格情報やパスワードを忘れてログアウトする可能性があります。
• 匿名でメールを送信するためにリレーサービスを使用している場合、あなたのデータはリスクにさらされ、そのサードパーティサービスの裁量に委ねられる可能性があります。
• オンラインでの操作に偽のアドレスを頼る前に、これらのデメリットを十分に認識し、将来的な問題を避ける必要があります。

不審なメールを受信した場合の結果

不審なメールを受け取り、そのメールアドレスが偽物のように見える場合はどうなりますか？
不審なメッセージは以下のようなシナリオにつながる可能性があります。

• 受信者を操作してクレジットカード、社会保障番号、銀行口座などの資格情報を開示させる。
• 偽のメールはしばしば偽のWebサイトにつながります。
  これらの詐欺的なWebサイトは、フィッシング試みを開始するのにさらに役立ちます。
• 感染したソフトウェアをダウンロードする有害な添付ファイルを含む場合があります。
• ユーザーの受信箱にスパムメッセージの数を増やします。
• 正当で実在する企業はしばしば偽のメールで偽装されます。
  これらの信頼できる企業は、このために顧客の信頼をしばしば失います。

詐欺に遭った場合、あなたが取るべき最善の行動は、苦情を持って法執行機関に連絡することです。

偽のメールかどうかを見分けるには？偽のメールを検出する5つの方法

多くの人が偽のメールによるフィッシング詐欺の犠牲になっていることに驚かされるでしょう。
被害者にならないための唯一の方法は、個人情報を明かすようにと騙す最も一般的な手法を知ることです。

偽のメールアドレスを検出する5つの方法は以下の通りです。

1. メールアドレスドメインを調べる

偽のメールアドレスを見分ける一般的な方法は、そのホストされているメールアドレスドメインを調べることです。
多くの詐欺師は、Google、Facebook、Yahooなどの人気サイトに似たドメインを使用して、それらが正当であると思わせるためにあなたを騙します。
davidjones@gmail.comのような偽のGmailアドレスからDavid Jonesを名乗る人からメールが届いた場合、それが正当でないことが確実です。

2. 送信者の表示名を調べる

受信箱の送信者名フィールドと一致しない名前の人からメールを受け取る場合、それは警戒すべき兆候です。
例えばGmailで、John Smithという名前の送信者からのメールにカーソルを合わせ、表示名がJohn Doeであることがわかった場合、その人が偽のGmailアカウントを使用している可能性があります。

3. スペルミスや至急の対応を促すメッセージを探す

偽のメールアドレスを特定する最も簡単な方法の一つは、スペルミスや文法の誤りをチェックすることです。
メールに複数のスペルミスや文法の間違いが含まれている場合、それは実際の人物ではなくボットからの可能性が高いです。

また、至急の対応を促すメールも、偽のメッセージの明確な指標となることが多いです。
緊急を要するメッセージは、受信者をストレスの下に置き、判断力を鈍らせる即時的な行動を促します。

4. リンクや添付ファイルの上にカーソルを置く

リンクや添付ファイルが含まれるメールを受け取った場合、それらをクリックする前にまずカーソルを合わせて確認してください。
それらに何か異常な点（例えば変わったURL）がある場合は、クリックしないでください！
代わりに、ブラウザにURLを直接入力してソースWebサイトに直接アクセスしてください。

この方法を使用すれば、見知らぬ人からのメールで送られてきたリンクに従ってうっかり有害なソフトウェアやウイルスをコンピュータにダウンロードすることがありません！

5. 直接連絡を取って送信者の情報を確認する

送信者の真正性に疑問を持っている場合は、Google検索を行うか、無料のメールファインダーを使用して、そのメールアドレスが他のWebサイトや製品と関連しているかどうかを確認してください。
もしそうなら、それはおそらく正当なものです。

しかし、匿名アカウントの場合や、そのメールアドレスに関連する結果が見つからない場合は、注意して進めてください。

偽のメールの見た目

以下は、偽のメールの見本です。

この例では、いくつかの明確な指標や警告サインが見られます。

• メールにはおとりや誘惑が含まれています
• 緊急性が示されています
• ドメイン名が誤って綴られています
• メッセージの内容に文法的な誤りがあります

これらすべては、メッセージの内容と送信者の悪意を指し示しており、そのため類似のメッセージを受け取った場合は注意して進む必要があります。

悪意のある偽メールの受信をPowerDMARCを使用して停止する

単にアンチウイルスソフトウェアを更新するか、一般的な警告サインを認識しようとするだけでは、しばしば十分ではありません。あなたにとって良いニュースです！
以下のメールセキュリティプロトコルを使用して、偽のメールアドレスがあなたの正当な会社ドメインをなりすましするのを防ぐことができます。

SPFとDKIM: メール送信者を署名＆認証する

SPF（Sender Policy Framework）と呼ばれるDNSレコードは、あなたのドメインを代表してメッセージを送信することが許可されたメールサーバーを指定します。
このプロトコルを使用して、ドメイン名を使用することが許可されているサーバーとIPアドレスをリスト化することができます。

第二のセキュリティ対策としてDKIM（またはDomainKeys Identified Mail）プロトコルを有効にすることができます。
一連のプライベートキーとパブリックキーを使用して、メール送信ドメインの認証を確立します。キーはメッセージの署名と送信元の検証を可能にします。

DMARC: ドメインの一致とレポーティングのために

SPFおよび/またはDKIMは、DMARC（Domain-based Message Authentication, Reporting, and Conformance）と組み合わせて、ヘッダーと送信者ドメイン間の一致を検証し、直接ドメインのなりすましやフィッシング攻撃を防ぐために使用されます。
DMARCレコードはテキストレコードとしてあなたのDNSに公開することで、プロトコルを活性化させることができます。

DMARCプロトコルはまた、あなたのドメインから検証された通信と検証されていないもののリストを含むレポートを送信します。
これは、潜在的な脅威、悪用、または設定の問題を見つけるのに役立ちます。

まとめ

正当な情報源からのメールだと思い込まされやすく、ハッカーに不意を突かれることを避けたいと思います。
これが、偽メールを検出することがますます重要になってきている理由です。
本物のコミュニケーションを確保するだけでなく、2段階認証を有効にする、定期的にアンチウイルスソフトウェアを更新するなどの追加対策を実装して、さらに防御を強化する必要があります。

次回、友人や知人から予期しないメールを受け取った場合は、上で話した告知サインのいずれかをチェックして、仲間のふりをしたフィッシング詐欺に騙されないようにしてください。
それは彼らからの実際のメッセージではなく、あなたの身元を盗むために設計された偽のメールである可能性が高いです。