メールを用いたサイバー攻撃は、昔から数多く確認されており、現在も主要な手法の1つとして対策が求められています。
この記事では、メールを用いたサイバー攻撃の中でも「なりすましメール」について解説します。なりすましメールの仕組みや脅威だけでなく、企業が実施すべき対策や対応についても解説するので、セキュリティ担当の方はぜひ参考にしてみてください。
ここでは、なりすましメールの概要について解説します。
なりすましメールは、受信者をだまして悪意のあるサイトへと遷移させたり、マルウェアに感染させるための手口の1つです。見抜けなければセキュリティインシデントにつながる恐れがあります。
なりすましメールとは、フィッシングなどで利用される、メールを用いたサイバー攻撃の一種です。知り合いや公的機関などからのメールを装い、受信者に正規のメールであると信じ込ませる手法です。
信頼できる相手と誤認した受信者にメールを開かせ、罠サイトへの遷移やマルウェアのダウンロードを促します。
なりすましメールの仕組みについて解説します。なりすましの方法は主に2つあります。
1つ目は、公的機関や企業のメールアドレスに似た文字列を送信元アドレスとして使用することで、受信者の目を欺く手法です。
もう1つは、電子メールの仕組みを悪用して送信元を偽装する手法で、この手法を使ったなりすましメールは見分けることが難しくなります。
ここでは、後者の手法について解説します。
基本的に電子メールは、「エンベロープ(封筒)」「ヘッダー」「本文」という3つの要素から成り立っています。
エンベロープは手紙でいうところの「封筒」にあたり、「ヘッダー」と「本文」という中身を運ぶ要素です。ヘッダーは、送信元アドレスと宛先のアドレスから成り立っています。通常、エンベロープに記載される「送信元アドレス」などの情報には、送信者のアドレスが自動で入力され、それにしたがってメールが配送されます。
なりすましメールは、以下のような仕組みで作られます。
たとえば、「花子さん」が「太郎さん」からメールを受け取る際、通常であればエンベロープと送信元のアドレスは共に「太郎さん」のアドレスになっているはずです。
しかし「攻撃者X」が「太郎さん」になりすましてメールを送る場合、エンベロープの送信元には「X」のアドレスが使用されていますが、ヘッダーの送信元には「太郎さん」のアドレスが使用されています。
花子さんさんがメールを受け取った段階でエンベロープは破棄されてしまい、メールアプリは残ったヘッダー情報をもとに、送信元として「太郎さん」のアドレスを表示してしまうのです。
参考サイト:なぜ、嘘のメールアドレスが書けるの? (中級)|一般財団法人インターネット協会
なりすましメールは、昔からあるサイバー攻撃の手法の1つですが、今でも数多く報告されています。
「フィッシング対策協議会」が発表している月次報告書によれば、2022年12月に確認されたフィッシング報告件数は65,474件です。月単位で見れば減少傾向にありますが、昨年7月には10万件を超えるフィッシングが報告されており、現代でもかなりの数のフィッシング詐欺が発生していることがわかります。
もちろん、この報告にはメールだけでなくSMSを用いたフィッシングも含まれていますが、フィッシングメールのうち実に80%以上がなりすましによるメールと確認されています。
参考サイト:2022/12 フィッシング報告状況|フィッシング対策協議会
なりすましメールの受信には、具体的にどのようなリスクがあるのでしょうか。
ここでは、なりすましメールの脅威についてご紹介します。
フィッシングサイトへの遷移は、なりすましメールによる代表的な脅威です。
大手ECサイトになりすましたメールを送信し、受信者が正規のメールだと誤認してしまうと、本文に記載されているURLからフィッシングサイトに遷移してしまいます。
フィッシングサイトは正規のサイトそっくりに作られているため、受信者はログインフォームでIDとパスワードを入力してしまい、攻撃者にログイン情報が知られてしまう…というインシデントが多発しています。
フィッシングサイトと同じく、URLでの遷移によってワンクリック詐欺に誘導されるケースもあります。
ユーザーがページ内のボタンをクリックすると、「登録完了しました。」といった文言と共に請求額が記載される詐欺で、実際には支払う義務がないはずの金銭を支払わされてしまう…という、昔から多く見られる手法です。
なりすましメールに、ファイルが添付されていることもあります。
知り合いや公的機関、取引先企業など、信頼できる相手からのメールと誤認してしまった場合には、添付ファイルを開いてしまうことは珍しくないでしょう。
近年、添付ファイルにマルウェアが潜んでおり、ファイルを開封してしまうことでデバイスにマルウェアがダウンロードされてしまう「Emotet」の被害が拡大しています。
最近では、WordやExcelなどのオフィスファイルに保存された「マクロ」をデバイスが自動実行してしまうことで、マルウェアが外部からダウンロードされてしまう…という攻撃手法も確認されています。
基本的には、不審なメールに添付されているファイルは開かず、すぐに破棄することが大切です。
なりすましメールを受信した際、見分ける方法はあるのでしょうか。
基本的には、注意して確認すれば、なりすましメールをある程度見分けることは可能です。
まずは、送信元のメールアドレスをきちんと確認しましょう。自分が知っているものと一致しているかどうかだけでなく、企業や公的機関の場合はドメインが合っているかどうかもポイントです。
また、本文の内容にも注目してみましょう。不自然な日本語で記載されていたり、いつもと違う点があったりした場合には要注意です。記載されているURLや添付ファイルにも不審な点がないか、チェックすることが大切です。
いくら注意していても、全てのなりすましメールを見抜けるとは限りません。なりすましメールによるセキュリティインシデントを防ぐためには、全社的な対策が求められます。
ここでは、企業が実施するべきなりすましメール対策を3つご紹介します。
1つ目は、メールセキュリティサービスの導入です。
メールセキュリティサービスとは、メールの送受信に付随するセキュリティ上のリスクを軽減し、安全なメール利用を助けるためのソリューションを指します。ビジネスの現場でメールを利用する機会は多いでしょう。なりすましメールをはじめ、メールを利用したさまざまなサイバー攻撃やセキュリティリスクに広く対応しているセキュリティサービスの導入がおすすめです。
メールセキュリティサービスを導入すれば、なりすましメールの受信を防いだり、危険なURLを検知し無害化する、といった対策が可能となります。ドメイン名とメールサーバーをチェックして正規のメールかどうかを確認するSPFやDKIM、DMARCといった認証方法を搭載したメールセキュリティサービス、また不審なファイルを検知するアンチマルウェア機能を搭載したサービスがおすすめです。
たとえば、サイバーソリューションズが提供している「Cloud Mail Security Suite」は、上記のなりすまし対策・マルウェア対策に加え、BEC対策やフィッシング対策などの対策も備えており、誤送信や情報漏洩を防ぐ仕組みも搭載しています。
安全なメールサービスを利用することも大切です。既存のメールサービスにセキュリティサービスを導入するという対策もよいですが、そもそもメールサービス自体を安全なものに切り替えるという対策も効果的といえます。
フリーメールではなくプロバイダーメールを利用したり、セキュリティベンダーが提供している安全性の高いメールサービスを利用したり…といった運用がポイントです。
サイバーソリューションズでは、安全性の高いメールサービスとして「CYBERMAIL Σ」を提供しています。高いセキュリティ機能に加え、アカウント管理の簡潔さや操作性の高さなど、利便性にも優れたサービスです。
セキュリティ対策においては、技術的にインシデントを防ぐ仕組みづくりだけでなく、実際に業務に従事する従業員への教育も大切です。特にメールの場合は利用する従業員も多いため、セキュリティ教育をきちんとおこなっていなければ、インシデントに発展するリスクも十分に考えられます。
不審なメールを開かない、安易にURLや添付ファイルを開かないといった教育はもちろん、インシデント発生時にとるべき対応手順などについても、定期的な教育が必要です。
最後に、なりすましメールについてよくあるご質問を紹介します。なりすましメールは決して珍しいものではなく、多くの方にとって身に覚えがあるでしょう。
対処方法を知らなければ、インシデントに発展する恐れもあります。質問に回答する形で正しい対処方法を解説するので、企業のセキュリティ担当の方はぜひ参考にしてみてください。
なりすましメールと気づかずに開いてしまい、本文などを確認することでなりすましメールと判明した…という場合、どのような対処が必要なのでしょうか?
そもそも、なりすましメールを開いてしまっただけで、セキュリティ上のリスクはあるのでしょうか?
基本的には、なりすましメールを開くだけでは、大きなインシデントにつながるリスクは低いと考えられています。なりすましメールを開いてしまっても、記載されているURLにアクセスしたり添付ファイルをダウンロードしたりしなければ、情報漏洩などにつながる可能性は低いでしょう。
ただし、メールを開くだけでマルウェアがダウンロードされてしまうケースも稀にあります。万一感染してしまっていた場合を想定し、被害の拡大を防ぐために、ネットワークを遮断してウイルスチェックをおこなうとよいでしょう。
知人を名乗る送信者から怪しいメールが届いているが、アドレスは知人のものと一致している…という場合、どうすればよいのでしょうか?
本文は明らかに怪しいものの、アドレスは本人のものと一致しているといった場合、なりすましかどうかの判断が難しい場合もあります。このような場合には、その知人がメールアカウントを乗っ取られている可能性も考えられます。
届いたメールに返信して確認を試みると、攻撃者に余計な情報を与えることになってしまうため、アカウントが乗っ取られていないか、他の手段で本人に確認してみるとよいでしょう。
届いたなりすましメールにはどう対応すればよいのでしょうか?受信トレイに放置していても問題ないのでしょうか?
基本的には、なりすましメールをはじめとする迷惑メールを放置しておくことは、おすすめできません。何かの拍子に開封してしまったり、リンクを踏んでしまったりする恐れがあるためです。なりすましメールと判明した時点で削除してしまうことをおすすめします。
この記事では、なりすましメールについて解説してきました。
なりすましメールは、送信元アドレスを偽ることで、受信者に信頼できる相手からのメールだと誤認させ、マルウェアのダウンロードやフィッシングサイトへと誘導する手法です。なりすましを見抜けなければ、情報漏洩などのセキュリティインシデントにつながる恐れがあるため、企業では全社的な対策が求められます。
なりすましメールへの対策としては、従業員へのセキュリティ教育の徹底はもちろん、メールセキュリティサービスや安全なメールサービスなど、ソリューションの導入がおすすめです。なりすましメールだけに留まらず、メールを用いたサイバー攻撃に広く効果があるため、企業のセキュリティ全般を見直したい方はぜひ検討してみてください。
サイバーソリューションズのメールセキュリティサービスなら下記のなりすましメール対策を標準装備しています。
送信元ドメインをSPF/DKIM認証機能によって認証し、失敗したインバウンドメールは、DMARCにより更に検証処理を個別に決定します。強固ななりすまし対策が可能です。
ビジネスメール詐欺(BEC)の保護設定をすることで、なりすました偽装メールをブロックします。注意をしていても防ぎきれないメール詐欺からお客様の環境を守ることが可能です。
▼MAILGATES Σ:月100円~利用できるメールセキュリティ
https://www.cybersolutions.co.jp/product/mailgates-sigma/
▼Cloud Mail SECURITYSUITE for Microsoft 365 & Google Workspace
Microsoft 365・Google Workspace向けの総合メールセキュリティ
https://www.cybersolutions.co.jp/product/securitysuite/
▼CYBERMAIL Σ:セキュリティ機能の充実したビジネス用クラウドメール
https://www.cybersolutions.co.jp/product/cybermail-sigma/
自社やクライアントのメールセキュリティ強化をお考えの方はお気軽にお問い合わせください!