メールが詐欺かどうかを見分ける方法

怪しいメールを見抜く眼

2024年4月12日
著者: Ahona Rudra
翻訳: 岩瀨　彩江

この記事はPowerDMARCのブログ記事 How to Tell if an Email is a Scam? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

詐欺メールは、個人情報やお金を渡すようにだまそうとする欺瞞的なメールです。
メール詐欺はますます巧妙になっており、本物と偽物を見分けることが難しくなっています。
これらの不正なメッセージは、あなたの身元、金銭、または個人データを盗もうとする可能性があります。

「詐欺メールチェッカー」で完全な安全を保証できるものはありませんが、メールのセキュリティを向上させるために利用できるツールや手法があります。
ここでは、詐欺メールの問題点について説明し、メールに対する意識を高めるためのいくつかのヒントを提供します。
また、「詐欺メールチェッカー」ツールの利点と、それらをメール防御計画に取り入れることがどのように有益であるかについても説明します。

重要なポイント

1. 詐欺メールは、正規の組織を装うために誤解を招く送信者名を使用することがよくあります。
2. メールの一般的な挨拶文は、詐欺の試みに典型的な個別性の欠如を示す場合があります。
3. メール内の緊急性を煽る表現は、衝動的な反応を引き起こすために詐欺師が頻繁に用いる手法です。
4. スペルや文法の誤りは、粗悪に作成された詐欺メールの兆候である場合があります。
5. 機密性の高い個人情報を求めるメールには注意してください。
   正規の企業がメールでそのような要求をすることは稀です。

メールが詐欺かどうかを見分ける方法

詐欺師は、被害者を操作するためにメールをもっともらしく見せることに多大な労力を注ぎます。
しかし、注意すべき点を理解していれば、彼らの本性を示す兆候が通常存在します。
不正なメールを見分ける方法を身につけることで、代償の大きい誤りを避け、データを安全に保つことができます。

誤解を招く送信者名

詐欺師は、正規の企業、組織、または個人を装う誤解を招く送信者名を使用して、あなたを騙そうとすることがよくあります。
表示されている送信者名だけでなく、必ずメールアドレス全体を注意深く確認してください。

たとえば、メールの送信者が「PayPal」や「Bank of America」と表示されていても、実際のメールアドレスが freemoney@scammer.com のように無関係なものである場合があります。
このようななりすましは、詐欺の典型的な兆候です。
正規の企業は、 @paypal.comや @bankofamerica.com のような公式ドメインからのみメールを送信します。

送信者名がドメインと一致しない場合、それは警告サインです。
詐欺師は、あなたが送信者名を見覚えがあると油断することを狙っています。

騙されないでください。
リンクや添付ファイルをクリックする前に、必ずメールアドレス全体を確認しましょう。

一般的な挨拶文

詐欺の典型的な兆候の一つは、「Dear sir/madam」や「Dear friend」のように、あなたの名前ではなく一般的な挨拶で始まるメールです。
正規の企業は、通常、あなたの名前を使って直接宛名を付けることでメールを個別化します。
もし「大切なお客様」などと呼びかけながら、その他の個人情報が一切含まれていないメールが届いた場合、それは詐欺の可能性が高いです。

本物のメールはあなたの正式な名前を使用しますが、詐欺師は個別化を行わずに大量のメールを一斉送信しています。
彼らはあなたが誰なのか具体的には知らず、詐欺メールの一斉配信でできるだけ多くの人を引っかけようとしています。
あなたに直接宛てられていない、あいまいで非個人的な挨拶文には常に注意してください。

これは、詐欺師があいまいなままで済ませることで手間を省くための手口です。
個別化にはより多くの労力が必要になるからです。
つまり、メールの内容があなたやあなたと企業との関係に関連していないように感じられる場合、そのメールは本物ではない可能性が高いです。

緊急性を煽る手口

詐欺師は、フィッシングメールで人々に衝動的な行動を取らせるため、偽の緊急性を作り出そうとします。

• すぐに行動しないと！
• このオファーは長く続きません！期間限定です！
• 本日限り！今行動しないとチャンスを逃します！
• 緊急通知：情報を更新しない場合、アカウントが無効になります

このような表現は警告サインです。
詐欺師は、冷静に考える時間を与えないように、プレッシャーをかける緊急的な言葉を使い、リンクをクリックさせたり、添付ファイルを開かせたり、個人情報を入力させようとします。

騙されないでください。
「急いで行動するよう促すメール」を受け取った場合は、少し時間を置いて慎重に内容を確認しましょう。
本当に緊急な場合は、確認済みの他の複数の経路（電話、公式サイトの通知など）を通じて連絡が来るものであり、疑わしい一通のメールだけで済むことはありません。

スペルや文法の誤り

詐欺メールは、詐欺師が急いで作成するために、スペルミスや文法の誤り、その他の記述ミスを含んでいることがよくあります。
これは、そのメッセージが正規の組織からのものではないことを示す警告サインです。
たとえば、詐欺メールには「receive」を「recieve」と誤って綴ったり、句読点の欠如、大文字の使い忘れ、その他の基本的な誤りが含まれていることがあります。

詐欺メッセージの文章品質は、一般的にかなり低い傾向があります。
ただし、詐欺師も進化しており、より本物らしく見せるために詐欺メールの文章を丁寧に作成するケースもあります。
したがって、文章の質だけを判断基準にするのは危険です。

それでも、雑な文章はそのメールをより慎重に確認すべきサインであることに変わりはありません。
また、他の詐欺の兆候として、「Dear customer（お客様各位）」のような一般的な挨拶文を使用している点が挙げられます。
詐欺メールはしばしば緊迫した口調で、脅しや強い行動の促しをすぐに伝えてきます。

つまり、スペルや文法の誤りは詐欺の試みを示す可能性がありますが、常にメール全体の文脈を確認することが重要です。
そして、そのメールが正規のものであると確信できない限り、リンクや添付ファイルを絶対にクリックしないでください。

不審なリンクと添付ファイル

詐欺の典型的な兆候のひとつは、メール内にある怪しいリンクや不審な添付ファイルです。
クリックする前に、リンクの上にカーソルを合わせて実際のURLを確認し、どこに誘導されるのか必ず確認してください。
メールの内容と一致しないリンクや、不自然なドメインを持つリンクには特に注意が必要です。

リンクや添付ファイルは、個人情報を盗んだり、あなたのデバイスにマルウェアを感染させたりするために利用されることがあります。
アカウントへのログインを求めるリンクや、認証情報・個人情報の入力を要求するリンクには特に注意してください。
また、差出人不明のメールに添付されたファイルは開かないようにしましょう。

特に、.exe、.zip、.rar、.dmg などの拡張子のファイルは、マルウェアやウイルスを含む可能性があります。
一見無害に見える .pdf や .doc ファイルでも、スクリプトや脆弱性を悪用したコードが埋め込まれている場合があります。
慎重すぎるくらいでちょうど良いと考えてください。

メールに不審なリンクや添付ファイルが含まれている場合、その内容に関わらずメッセージを削除するのが最も安全です。
正規の組織が、突然不審に見えるリンクや添付ファイルを送ってくることはありません。

個人情報の要求

詐欺師がよく使う手口の一つは、メールで機密性の高い個人情報を求めることです。
これは重大な警告サインであり、送信者に対して強い疑いを持つべき状況です。
正規の企業が、社会保障番号、銀行口座情報、生年月日などをメールで求めることは、まずありません。

詐欺師がこのような個人情報を狙うのは、なりすましによる犯罪を行ったり、金融口座への不正アクセスを得たりするためです。
差出人が不明なメールで個人情報の提供を求められても、たとえそのメールが本物らしく見えても、絶対に応じてはいけません。
信頼できる組織が、事前の同意なしにメールでこのような要求をすることは決してありません。

さらに、IRS（米国国税庁）や社会保障庁（Social Security Administration）のような政府機関が、突然メールを送って社会保障番号やその他の個人情報を求めることは決してありません。
公式機関を名乗りながら個人情報を求めるメールは、常に詐欺です。

結論として、予期せぬメールに対して機密情報を送信してはいけません。
もし送信者が本当に正規であれば、そのような情報を不特定多数にメールで求めることはありません。
常に慎重に対応し、確認されていないメールに個人情報を渡さないようにしましょう。

アカウント停止の脅迫

詐欺の典型的な兆候の一つは、「すぐに行動しなければアカウントやサービスへのアクセスを停止する」と脅すメールです。
詐欺師は、このような恐怖を煽る手口を使い、冷静に考える前にリンクをクリックさせたり、個人情報を入力させたりしようとします。

アカウント停止をちらつかせる詐欺メールの例

• 支払い情報を更新しないと、あなたのNetflixアカウントがキャンセルされます。
• 本人確認を行わないと、銀行口座が凍結されます。
• 配送を確認しないと、Amazonの注文がキャンセルされます。

これらのメールは、あなたを焦らせて軽率な行動を取らせるために、偽の緊急性を作り出そうとします。
主張をそのまま信じてはいけません。
メールが本物かどうかを確認するには、企業の公式Webサイトなど、正規の連絡経路を通じて直接問い合わせてください。

信頼できる企業が、正式な通知なしにアカウントを停止することは通常ありません。
突然このような停止警告を受け取った場合は、強い疑いを持つべきです。
個人情報を提供したりリンクをクリックしたりする前に、必ず企業に確認してください。

画像の粗さ・低品質

詐欺メールには、解像度が低い、ざらついている、歪んでいる、またはぼやけている画像が含まれていることがよくあります。
これは、詐欺師がインターネット上から適当に画像を拾ってメールに挿入しているためであり、品質を気にしていないからです。
彼らは高解像度の画像を探したり作成したりする手間をかけません。

さらに、詐欺メールに使われる画像は、明らかに編集や加工（フォトショップなど）されたものに見える場合があります。
画像の一部が不自然に切り取られていたり、端にノイズやアーティファクトが見られたりします。
また、詐欺メールでは、画像の配置がずれていたり、メール本文内で奇妙な位置に置かれていたりすることもあります。

見栄えよく整える配慮がほとんどなく、画像がテキストに重なったり、余白にはみ出したりする場合もあります。
こうした画像品質の低さは、送信者が丁寧で専門的なコミュニケーションを行う努力をしていない証拠です。
正規の企業は、適切なサイズで高品質の画像を使用し、美しく整ったメールレイアウトの中に自然に統合しています。

詐欺メールの種類

詐欺メールにはさまざまな形があります。
自分を詐欺から守るためには、メールが詐欺かどうかを見分ける方法を学び、常に警戒を怠らないことが重要です。

フィッシング詐欺

信頼できるブランドを装って個人情報を取得しようとする手口です。
もっともらしいメールや偽造されたWebサイトを使って、あなたを誘導します。

スピアフィッシング

特定の個人や組織を狙って、個別に作成されたメールを送る攻撃です。

ホエーリング

企業の経営幹部や政府高官を標的とし、巧妙に仕立てられたメールを使う攻撃です。

ビジネスメール詐欺

信頼できる企業名を利用して信用させ、送金や機密情報の提供をだまし取る攻撃です。

ロマンス詐欺

恋愛関係を装い、緊急事態を捏造して金銭をだまし取る手口です。
詐欺師は偽のオンラインプロフィールを作成し、信頼を得た上で脅迫的な言動で被害者に圧力をかけます。

偽請求書詐欺

本物のように見える偽の請求書を作成し、受信者をだまして詐欺師の口座に支払いをさせる手口です。

懸賞・宝くじ詐欺

存在しない当選を装い、前金の支払いを求める詐欺です。
被害者は「賞金」を受け取るためにお金を送金しますが、その賞品は実在しません。

おすすめのオンライン詐欺メール判定ツール

フィッシング詐欺の試みが増加する中で、オンラインの詐欺メール判定ツールは、不審なメッセージを分析する効果的な方法です。
ただし、詐欺メールチェッカーはスパムフィルターのように単一で決定的なツールというわけではないことに注意してください。
詐欺メールチェッカーには、いくつかの種類があります。

メールアドレス検証ツール（Email Validation Tools）

これらのツールは、メールアドレスが実際に存在し、配信可能な本物のアドレスであるかどうかを確認します。

ブラックリスト照合ツール（Blacklist Checkers）

これらのサービスは、メールアドレスを既知の詐欺的送信者のデータベースと照合します。

代表的なサービス例

1. McAfee Phishing Scan（マカフィー・フィッシングスキャン）

McAfee Phishing Scan サービスでは、ユーザーが不正なメールを提出して検証することができます。
このツールは、メールの内容と構造を分析し、一般的なフィッシング手口を検出します。
スキャン結果は、メールの真正性に関する実用的な洞察を提供します。

2. Trend Micro Phish Insight（トレンドマイクロ・フィッシュインサイト）

Trend Micro の Phish Insight は、メール内のリンクを分析してフィッシングを検出します。
ユーザーは、不審なURLを入力することで、そのサイトが既知のフィッシングサイトでホストされているかどうかを確認できます。
このツールは、ドメインのなりすましもチェックします。

3. MailboxValidator（メールボックスバリデータ）

MailboxValidator の詐欺メール検出機能は、受信トレイに届いたメールが実在するものかどうかを確認します。
詐欺師が人々をだますために使用する偽のメールを特定するのに役立ちます。
1件ずつのメール確認にも、複数のメールをまとめて検証することにも対応しています。

なぜ詐欺メールが多いのか？

近年、詐欺メールの件数が大幅に増加しており、その手口もますます見抜きにくくなっています。 詐欺師は、信頼できる人や企業からのメールのように見せかけた偽のメールを、毎日30億通も送信しています。 彼らは、メールの「送信者（From）」欄に偽の名前を記載して、他人になりすまします。

そして、受信者が「知っている人からのメールだ」と思い込んで開封することを狙っています。
企業はメールを頻繁に使用しているため、従業員はこれらの偽メールにだまされるリスクが非常に高いです。
特に在宅勤務中は、メールの送信元が本当に本人かどうかを確認するのが難しくなります。

そのため、知識のある人でもこうした巧妙な手口に引っかかることがあります。
たとえば、大学で教えていたジョナサン・リーキー氏は、銀行からのメッセージだと信じ込んでしまい、2万5,000ポンド（約4,800万円）を失いました。
Facebook や Google のような大企業でさえ、詐欺メールでなりすましの標的にされたことがあります。

2013年から2015年にかけて、Evaldas Rimasauskas という詐欺師は、銀行をだまして架空の請求書によって1億2,100万ドル（約180億円）を不正に受け取りました。
彼は、弁護士からの偽の書簡や本物そっくりの契約書を偽造し、銀行を信用させて送金させたのです。

この事例は、技術力の高い大企業でさえ、詐欺師がうまく偽装すればだまされてしまう可能性があることを示しています。
もし彼らのような大企業が被害に遭うのであれば、規模の小さい企業も同様に危険にさらされているといえます。

メール詐欺にだまされないためのヒント

詐欺メールは至るところに存在しますが、自分を守るために取るべき対策があります。
以下は、メールセキュリティを強化するための追加の推奨事項です。

1.送信者アドレスを確認する

詐欺師は、正規のアドレスを装って送信することがあります。
SPF（Sender Policy Framework）を有効にして、送信者の正当性を検証しましょう。

2.リンクをクリックしない

不審なメールや突然届いたメール内のリンクは、決してクリックしないでください。
マルウェアをダウンロードさせる危険があります。

リンクを確認するには、メール内のURLを使わず、公式Webサイトに直接アクセスして確認しましょう。
メールの内容に触れる前に、常に「このメールは本物か？」と自問することが大切です。

3.二要素認証を利用する

二要素認証を有効にすると、セキュリティがさらに強化されます。
新しいデバイスからログインする際、スマートフォンなどに送られる認証コードの入力が必要になります。

これにより、たとえ詐欺師がパスワードを入手してもアカウントへの不正アクセスを防げます。
メールが本物かどうかを確認する上でも有効な方法です。

4.DMARCを実装する

DMARC（Domain-based Message Authentication, Reporting & Conformance）などのプロトコルは、メール詐欺対策における大きな転換点です。
DMARCを導入することで、自社ドメインを装った詐欺メールが顧客の受信トレイに届くのを防ぐことができます。

複数の防御手段を組み合わせることで、フィッシング攻撃を防ぐ可能性を高めることができます。

まとめ

私たちは、詐欺メールが非常に一般的な世界に生きています。
そのため、一人ひとりが注意を払う必要があります。
専門家は、知らない人からのメールを開かないことや、あまりに都合の良い話を信じないことをよく助言しています。

しかし、最も効果的な安全対策は、厳格なメールセキュリティ研修を通じて、これらの詐欺について学ぶことです。
真実を見極め、正確な詐欺メール検出ツールを利用することで、サイバー空間で自分自身を守ることができます。

ツールだけでは限界がありますが、メールセキュリティの専門家との相談を予約することで、より高度な対策を取ることが可能です。
私たちは、あなたのドメインを詐欺メールから守るための最適化された保護プランを提供します。