FTC:電子メールがなりすまし詐欺の一般的な手段であると報告

FTC:電子メールがなりすまし詐欺の一般的な手段であると報告

偽メール詐欺から身を守れ

2024年7月20日
著者: Yunes Tarada
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 FTC Reports Email is a Popular Medium for Impersonation Scams の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

過去10年間でなりすまし攻撃は増加しており、確立された大企業や政府機関が標的となっています。
連邦取引委員会(FTC)の消費者センチネルネットワークは、これらの企業や政府機関を狙った何千件ものなりすまし詐欺が報告されていることに常に警戒しています。

これらの攻撃の問題点は、人間の心理を悪用しているため、検出や防止が非常に困難であることです。
さらに、詐欺師たちはなりすまし手法においてますます技術的に高度になっており、最終的には詐欺の成功率を高めています。

組織内の不十分なセキュリティ対策や、従業員の認識不足は、なりすまし詐欺が成功する主な要因としてよく見られます。
その結果、2023年だけでも、FTCには33万件の企業なりすまし詐欺と16万件の政府なりすまし詐欺が報告されました。
FTCは消費者保護データ・スポットライトで、これらの攻撃に関連する年間総被害額が10億ドルを超えたことを明らかにしました。

重要なポイント

  1. なりすまし詐欺の増加は、詐欺師の手口が高度化していることと、組織内のセキュリティ対策の不備によって主に引き起こされています。
  2. 2020年以降、電子メールやSMSが、従来の電話による詐欺を上回り、なりすまし詐欺の主要な手段となっています。
  3. 一般的ななりすまし詐欺には、偽のアカウント警告、更新通知、驚くような割引、荷物配送の問題、そして法執行機関を装った脅迫などがあります。
  4. 組織がなりすまし詐欺を効果的に防止するためには、SPF、DKIM、DMARCといった電子メール認証プロトコルを実装することが不可欠です。
  5. 電子メール内の警戒すべき兆候に注意を払い、送信者のアドレスを確認することで、個人がなりすまし詐欺の被害を避ける大きな助けになります。

なりすまし詐欺とは何か?

なりすまし詐欺とは、攻撃者が組織、機関、または個人になりすまして、被害者をだまし、機密情報を開示させるサイバー脅威のことです。
なりすまし詐欺は、主に金銭的な動機、または組織の内部システムや情報へのアクセスを得る目的で行われます。

誰が標的にされるのか?

実際のところ、オンライン上では誰でもなりすまされる可能性があります。
しかし、利益を上げるという目的を考慮すると、サイバー攻撃者は通常、以下のような人気の高い対象を詐欺で装います。

  1. 有名な民間企業
  2. 政府機関
  3. 銀行および金融機関
  4. 大学、短大、その他の教育機関
  5. 企業の上級幹部(CEO、CTO、CFO)
  6. 友人や家族

どのような手口が使われるのか?

なりすまし詐欺を実行するために、攻撃者は以下のような手口を使用することがあります。

  1. メールフィッシングフィッシングメールは、偽造またはなりすましドメイン名から送信されることが多く、実在する組織になりすまして、既存または潜在的な顧客をだまし取ることを目的としています。
    メールによるフィッシング攻撃の仕組みとフローを示す図
  2. ビッシング/スミッシング : フィッシングと似ていますが、電話やSMSを通じて行われます。
    攻撃者は正規の送信元になりすまし、機密情報を引き出そうとします。
    ビッシング(Vishing)とスミッシング(Smishing)の説明図
  3. ソーシャルメディア : ソーシャルメディアではなりすましが非常に蔓延しており、詐欺師は実在するユーザの偽のプロフィールを作成して、誤情報を広めたり、友人や家族をだましたりします。
    アカウント乗っ取りも、ソーシャルメディア上でなりすまし詐欺を行うもう一つの手段です。

目的は何か?

なりすまし詐欺の最終的な目的は次のとおりです。

  1. ログイン認証情報、アカウントのパスワード、クレジットカードやデビットカードの情報など、機密情報を盗むこと。
  2. 被害者や組織から金銭を盗んだり、送金させたりすること。
  3. 被害者を操作して、ランサムウェアやマルウェアをシステムにダウンロードさせること。
  4. 個人情報の盗用(アイデンティティ盗難)。

2023年に消費者がFTCに報告した上位5つのなりすまし詐欺

FTCは「データ・スポットライト」レポートの中で、2023年に消費者から最も多く報告された以下の詐欺を挙げています。

1.偽のアカウントセキュリティ警告
あなたの銀行から「Xドルの送金を確認してください」というメッセージを受け取ったとします。
これは通常、取引時に銀行がセキュリティ目的で送る標準的なメッセージです。

しかし、このメッセージは実際にはあなたの銀行からではありません。
今回は、銀行になりすました攻撃者が、あなたに資金を送金させようとだましているのです。
2.偽のアカウント更新通知
しばらく更新していなかったNetflixアカウントに関して、「自動更新により口座から料金が引き落とされます」という突然の通知を受け取ったとします。 驚いたあなたは、すぐに対応しようとするでしょう。 このような偽の通知は、Netflixになりすました詐欺師によるもので、FTCに報告された類似のなりすまし詐欺から着想を得たものです。
3.驚くべき割引オファー、セール、ギフトクーポン
もしあなたがまったく情報を遮断して生活していないなら、この詐欺はおそらく見覚えがあるでしょう。
私たちはしばしば、最新のセールや割引に関するメッセージやメールをEC企業から受け取ります。
中には本物もありますが、その多くは詐欺です!

不審なリンクや添付ファイルなどの警告サインに注意することが重要です。
また、文章の質が低いメッセージ、文法ミス、「うますぎる」ほどのオファーも、詐欺の典型的な見分けポイントです。
4.荷物配達問題
2023年から2024年にかけて、荷物配達に関する詐欺が急増しました。
この詐欺は一見無害に見えます。

「あなた宛の荷物が配達できなかったため、最寄りの郵便局で受け取ってください」と通知が届くのです。
メッセージには通常、荷物に関する詳細を示すリンクが添付されています。
しかし、実際には荷物など存在せず、そのリンクはあなたの認証情報を盗むためのフィッシングサイトや、マルウェアをダウンロードさせるサイトへ誘導するものです!
5.法執行機関を装った脅迫
ストレスや混乱は、冷静な判断を鈍らせます。
このタイプのなりすまし詐欺は、その心理を悪用しています。

詐欺師は法執行機関になりすまし、「法律違反に関与している」として罪のない人々を脅します。
混乱した被害者は、問題を避けようと、詐欺師の指示に従ってしまうのです。

FTC、政府および企業のなりすましに関する新しい規則を導入

2024年4月1日、FTCはついになりすまし詐欺に関する新しい規則を発表しました。
この規則では、なりすまし詐欺を防止し、消費者が被る金銭的損失を最小限に抑えるための厳格な措置が導入されています。
以下は、その主な要点です。

  1. FTCは、なりすまし詐欺の被害に遭った消費者から盗まれた資金の返金を求めるため、加害者に対して法的措置を取ることができます。
  2. FTCは、さまざまな種類のなりすまし詐欺について消費者を保護し、教育する取り組みを継続しており、より多くの情報と対策を提供しています。
  3. また、FTCは消費者の意見をより多く取り入れるため、なりすましに関する取引規制ルールについて、4月30日まで一般からのコメントを受け付けています。

メール:なりすまし詐欺の主要な手段

FTCは、2020年以降、電子メールとテキストメッセージをなりすまし詐欺の主要な2つの手段として挙げています。
以前は電話による詐欺が一般的でしたが、現在ではその頻度が着実に減少し、メールやSMSによる詐欺が増加しています。

では、なぜ攻撃者はメールを選ぶのでしょうか?
メールは、個人および業務の両方で非常に頻繁に利用されるため、サイバー攻撃にとって強力な手段となっています。
1日に3,000億通以上のメールが送信され、世界中で40億人を超えるアクティブユーザが存在します。

これにより、詐欺師にとってメールは潜在的な被害者を見つけ出す格好の手段となっています。
また、メールが詐欺の手段として好まれる理由として、以下のような要因も挙げられます。

  1. メール詐欺に関する認識の欠如
  2. 組織や政府機関における不十分なメールセキュリティ対策
  3. 高度なドメイン認証プロトコルへの対応不足

メールなりすまし詐欺を防ぐ方法

メールのなりすましを防ぐには、主に2つのアプローチがあります。
1つは、受信したメールに注意を払うこと。
もう1つは、詐欺師が正規の送信者になりすますことを難しくすること(こちらは主に組織に当てはまります)。

個人向けには、以下のような対策があります。

警戒すべき兆候に注意すること
詐欺師は、人々に考えずに素早く行動させるために、緊急性や圧力を感じさせる手口をよく使います。
文法の誤り、スペルミス、不意の金銭要求や個人情報の要求があるメールには注意してください。
送信者のアドレスを確認すること
送信者名だけを信用しないでください。
メールアドレス全体をよく確認しましょう。
詐欺師は送信者名を簡単に偽装し、正規のものに見せかけることができます。
不審なリンクや添付ファイルをクリックしないこと
クリックする前にカーソルを合わせて、実際のリンク先URLを確認しましょう。
知らない送信者からの添付ファイルは絶対にダウンロードしないでください。
身に覚えのないメールに注意すること
知らない人からのメールを受け取った場合は、特に慎重に対応しましょう。

なりすまし詐欺の急速な増加に伴い、クラウド型メールセキュリティソリューションの導入が極めて重要になっています。
この包括的なメール通信の保護アプローチは、なりすまし詐欺の防止、機密情報の保護、そしてサイバー脅威が増大する中での業務運営の健全性維持において、重要な役割を果たします。

組織においては、以下のような追加の技術的対策を実施することができます。

SPF認証
SPF(Sender Policy Framework)は、自社ドメインから送信されるメールが、許可されたサーバから送信されていることを検証します。
DKIM認証
DKIM(DomainKeys Identified Mail)は、メールの送受信過程で改竄されていないこと、またメッセージ内容が保持されていることを確認します。
DMARC
DMARC(Domain-based Message Authentication, Reporting, and Conformance)はSPFおよび/またはDKIMを基盤としており、自社ドメインから認証されていないメールを受信した場合に、受信側がどのように処理すべきかを指定することができます。
従業員教育
スタッフに対し、メールなりすまし詐欺の存在やその見分け方を教育することも重要です。

技術的プロトコルの設定には時間、労力、リソース、そして専門知識が必要ですが、DMARCアナライザを利用することでこのプロセスを容易にできます。
このツールは、単一または複数のドメインに対して、メール認証の設定、監視、管理を簡単に行うことができます。
さらに、非強制ポリシーから強制ポリシーへの移行を迅速かつ低コストで安全に実現する手段でもあり、一定の範囲でメールなりすまし詐欺から組織を保護することができます。

まとめ

FTCは、なりすまし詐欺の被害者を支援し、サイバー脅威に関する認識を広めるための取り組みを継続しています。
重要なのは、FTCが金銭を要求したり、脅迫したり、強制したり、報酬を提供したりすることは決してないという点です。
したがって、FTCを名乗る人物からSMS・メール・電話を受け取り、不審な行動が見られる場合は注意してください。

すぐに公式ウェブサイトに記載されているFTCのヘルプラインに連絡し、支援を求めることができます。
最後に、常に安全なデジタルコミュニケーションを意識し、注意を怠らず、優れたサイバーセキュリティツールに投資することを心がけましょう。
「予防は治療に勝る」と言われるように、今適切な対策を講じることで、将来的に発生する復旧費用や損害を防ぐことができます。