なりすましメールとは?
著者: Ahona Rudra
翻訳: 古川 綾乃
この記事はPowerDMARCのブログ記事 What is Email Spoofing?の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
なりすましメール対策は、メールセキュリティを強化するうえで重要な対策の一つです。
その理由は、なりすましメールがインターネット詐欺の代表的な手口の一つであるためです。
なりすましメールとは、ハッカーが正規の企業や個人を装ってメールを送信し、受信者をだまして機密情報を入力・提供させる行為を指します。
なりすましの手口には、主に次の二つがあります。
一つは、あなたのメールアドレスを偽装する方法です。
もう一つは、あなたのメールアドレスによく似た偽のアドレスを新たに作成する方法です。
なりすましメール対策を講じることで、なりすまし攻撃を早期に検知・防止し、攻撃者による情報の窃取を防止できます。
最新のフィッシング統計については、こちらからご確認いただけます。
現在の脅威状況の把握にお役立てください。
主なポイント
- なりすましメールは、正規のものに見える不正なメッセージを使って、個人から機密情報をだまし取る可能性があります。
- 組織は特になりすましメール攻撃の標的になりやすく、重大な情報漏えいや金銭的損失につながるおそれがあります。
- DMARCはメール認証を強化し、なりすましを防止する仕組みであり、企業にとって導入が不可欠な対策です。
- なりすましメールを見分けるには、送信元ドメインを確認する、文面の不自然さをチェックする、見慣れないリンクはクリック前に確認する、といった対策が有効です。
- DMARC MSPとして取り組むことで、メールセキュリティを強化し、顧客を詐欺から守るための体制を整えることができます。
なりすましメールについて簡単に説明します。
なりすましメールとは、簡単に言うと、あなたから送信されたように見せかけて、実際には第三者が送信しているメールのことです。
攻撃者は「From」アドレスを偽装し、あなたの会社や銀行、友人など、信頼できる相手から届いたかのように装います。
一見すると正規のメールに見えますが、実際には詐欺目的で送信されたものです。
なりすましメールはどのような仕組みで行われるか。
なりすましは、個人情報を悪用する手口の一つで、攻撃者はメールアドレスを他人のものに見せかけます。
メールは日常的に使われる信頼性の高い連絡手段であるため、警告サインに気づかず、知らない送信者からのメールを開いてしまう人も少なくありません。
そのため、なりすましメール対策が不十分であると、企業に深刻な影響を及ぼす可能性があります。
攻撃者が会社や取引先を装ってメールアドレスを偽装することで、従業員をだましてフィッシングメールを開封させたり、返信させたりすることが可能になります。
これらのフィッシングメールには、ウイルスやその他のマルウェアにつながる悪意のあるリンクが含まれている場合があります。
あるいは、将来的な攻撃に悪用されるおそれのある個人情報を要求する場合もあります。
ハッカーはどのようになりすましメールを行うのか
攻撃者は、送信元を偽装して相手を信用させるために、なりすましメールを利用します。
なりすましはさまざまな方法で行われますが、ここでは代表的な手法を紹介します。
- オープンSMTPリレー
- メールサーバの設定によっては、第三者が自由にメールを中継できる「オープンSMTPリレー」になっている場合があります。
この状態だと、誰でもあなたのサーバを経由して、あたかもあなたが送信したかのようなメールを送れてしまいます。 - 表示名のなりすまし
- 表示名のなりすましは、比較的見抜きやすい手口です。
攻撃者は、表示名を「security」や「サポート窓口」などに変更して、信頼できる送信者に見せかけます。
多くのメールソフトでは、送信者名をクリックすることで実際のメールアドレスを確認できます。
もし表示名が不自然だったり、実際のアドレスと一致していなかったりする場合は注意が必要です。 - 正規ドメインのなりすまし
- この手口では、攻撃者が正規のWebサイトに似せた偽サイトを作成し、ログイン情報や個人情報を入力させるためのメールを送信します。
例えば、見た目が似た別ドメイン(@gmaiI.com など)を使用し、本物のサービスに見せかけるケースがあります。
こうして入力させた情報は、攻撃者によって悪用されたり、闇市場で売買されたりします。
こうした手口は一般にフィッシングと呼ばれます。 - Unicodeなりすまし
- Unicodeなりすましは、ドメイン名のなりすましの一種です。
見た目が似ているUnicode文字を使い、本物そっくりのドメイン名を作る手口です。
こうした文字を扱うために、Punycodeという変換方式が使われています。
ただし、多くのブラウザやメールクライアントでは、見た目上はUnicodeのまま表示されることもあるため、注意が必要です。 - 類似ドメインによるなりすまし
- 類似ドメインとは、本物と非常によく似たドメインを攻撃者が取得し、企業になりすまして悪用する手口です。
ドメイン名が非常に似ているため、受信者が違いに気づくのは簡単ではありません。
見分けるには、送信元ドメインやメールヘッダーを確認する必要があります。 - ソーシャルエンジニアリングの手法
- ソーシャルエンジニアリングは、人をだまして機密情報を引き出す手口です。
攻撃者は、友人、家族、同僚などの別人を装い、電話やメールを通じて、パスワードやクレジットカード番号などを聞き出そうとします。
なりすましメールが危険な理由
なりすましメールは、企業に深刻な被害をもたらす可能性があります。
特に企業は標的になりやすい傾向があります。
なぜなら、攻撃者はクレジットカード番号や社会保障番号などの機密情報を狙い、企業を標的にすることが多いからです。
なりすましメールをきっかけとしたフィッシング攻撃によって、こうした情報が不正に取得されると、事業者にとって甚大な損害につながるおそれがあります。
企業が被害を受ける主なケースは、次の二つです。
1つ目は、攻撃者が自社ドメインを悪用してフィッシングメールを送信する場合。
2つ目は、類似ドメインを使用して企業になりすます場合です。
なりすましメールがもたらす被害
なりすましメールは、さまざまな被害の引き金となります。
複数の調査によると、サイバー攻撃の70%以上は悪意のあるメールをきっかけに始まっていると報告されています。
また、多くのデータ侵害では、なりすましのようなソーシャルエンジニアリングの手法が使われています。
その結果、次のような影響が生じる可能性があります。
- なりすましによって、あなたの会社名をかたったフィッシングメールが送信され、ログイン情報やクレジットカード情報などの機密情報が盗まれる可能性があります。
- なりすましは、BEC(ビジネスメール詐欺)につながることがあります。
攻撃者が企業幹部になりすまし、資金の送金や機密情報の共有を要求するケースです。 - マルウェアやスパイウェアの拡散、さらにはランサムウェア攻撃につながる可能性があります。
- なりすまし攻撃が繰り返されると、企業の評判が大きく損なわれ、顧客が正規のメールであっても開封をためらうようになるおそれがあります。
このようななりすまし行為は、商標や知的財産権の侵害につながる場合もあります。
多額の金銭的損失が発生する可能性があります。 - なりすましが繰り返し成功すると、個人情報の盗難やアカウントへの不正アクセスにつながるおそれがあります。
- メールドメインの保護を怠った組織は、関連する法規制やコンプライアンス要件により、罰金や法的責任を問われる可能性があります。
- 仕入先やベンダーを標的としたなりすましメールは、ビジネス関係を損ない、不正取引やデータ侵害、業務停止などを引き起こす恐れがあります。
なりすましメールの検知と防止
信頼している相手からのメールであっても、「From」欄に表示されている送信者情報が普段と異なる場合は注意が必要です。
なりすまし攻撃の可能性があります。
なりすましメールを見抜くポイント
- 送信者のドメイン名を確認してください。普段見慣れているものと一致していますか。
- メッセージに不自然な日本語や誤字、文法の誤りはありませんか。
- 不審なリンクや、想定していないリンクが含まれていませんか。
- リンクをクリックする前に、リンク先のURLを確認してください。
- 不安がある場合は、職場や学校のIT部門に相談してください。
- 自分が送信していないメールが「送信済み」フォルダに表示されていませんか。
- 自分が開始していないメールへの返信を受信していませんか。
- 意図せずパスワードが変更されていませんか。
- 自分の名前で不審なメールが送信されていませんか。
- これらに該当する場合は、なりすましの可能性があります。
組織としては、ドメイン偽装を防ぐための適切なセキュリティ対策の導入が重要です。
予防策
1. メール認証方式
- SPF(Sender Policy Framework)
- SPFは、自社ドメインからメールを送信できるサーバを指定する仕組みです。
DKIMおよびDMARCと併用することで、なりすましメールの防止に役立ちます。 - DKIM(DomainKeys Identified Mail)
- DKIMは、送信メールに電子署名を付与し、改ざんされていないことを検証できる仕組みです。
- DMARC(Domain-based Message Authentication, Reporting & Conformance)
- DMARCは、なりすましやフィッシング攻撃から組織を守るため の仕組みです。
SPFやDKIMの検証結果をもとに、認証に失敗したメールをどのように処理するか(隔離・拒否など)をドメイン所有者が指定できます。
注意:DMARCは自社ドメインを直接偽装する攻撃には有効ですが、類似ドメインを使用したなりすましには効果がありません。
2. 追加のセキュリティ対策
- 従業員教育
- 従業員はセキュリティ対策の最前線に立つ存在です。
フィッシングの見分け方、送信者情報の確認方法、不審なメールへの対応方法について定期的なトレーニングを実施することが重要です。 - BIMIの有効化
-
BIMI(Brand Indicators for Message Identification)は、受信トレイにブランドロゴを表示できる仕組みです。
導入には、強制力のあるDMARCポリシー(p=quarantine または p=reject)と、BIMI仕様に準拠したSVGロゴが必要です。 - AIベースのメールセキュリティツールの活用
- AIを活用した脅威検知技術は、攻撃の兆候を早期に検出するのに役立ちます。
AI対応のメールセキュリティツールの導入は、有効な対策の一つです。
なりすましメールの被害に遭った場合の対処方法
自社ドメインがなりすましに悪用された疑いがある場合は、次の対応を検討してください。
- DMARCレポートを確認する
- DMARCポリシーを強化する(例:p=none から p=quarantine または p=reject へ変更)
- 影響を受けたユーザや社内チームへ通知する
- メールプロバイダやセキュリティ担当部門へ報告する
- 攻撃の追跡や分析を行うツールを活用する
よくある質問
- 1. なりすましメールとフィッシングの違いは何ですか。
- なりすましメールは、正規の送信者のメールアドレスを偽装する行為です。
フィッシングは、受信者をだまして機密情報を入力・提供させようとする詐欺行為です。
なりすましは、フィッシングでよく利用されます。 - 2. 無料メールプロバイダ(Gmail、Yahoo)はなりすましを防ぐことができますか。
- GmailやYahooなどの無料メールプロバイダは、自社ユーザに届くなりすましメールを検知することはできます。
しかし、第三者があなたのドメインを使ってなりすましメールを送信することを防ぐことはできません。 - 3. DMARCだけで、すべてのなりすまし攻撃を防げますか。
- いいえ。DMARCは、自社ドメインを直接偽装するタイプのなりすましに対してのみ有効です。
類似ドメインを使用する攻撃を防ぐことはできません。 - 4. 自分のドメインがなりすましされているかどうかを確認するにはどうすればよいですか。
- ドメインに対してDMARCレポートを有効にしてください。
DMARCレポートを確認することで、不正な送信の試み、認証の失敗、メール配信の問題などを把握できます。
まとめ
なりすましメールは、依然として代表的なサイバー脅威の一つです。
しかし、企業が適切なツールと戦略を導入することで、被害を防ぐことは可能です。
継続的な監視やメール認証の適切な運用、そして対策ツールの導入によって、多くのリスクを大きく減らすことができます。
なりすましメール対策を進めることで、大規模な金銭的損失や、将来起こり得る重大なデータ侵害からブランドを守ることにつながります。
無料のDMARCトライアルに登録し、ドメインをなりすましから保護するための対策を始めましょう。