なりすましメールとは？仕組みから有効な対策まで解説

　こんにちは。WiLL Cloud運営事務局です。近年、企業や団体を装った「なりすましメール」が社会問題になっています。被害を受けると金銭や機密データを奪われるだけでなく、自社の信用問題にも繋がるので注意が必要です。

　この記事では、なりすましメールの仕組みや手口をはじめ、被害者にならないための対応策から、自社のメルマガがなりすましメールではないことを顧客に証明する方法まで紹介しています。ぜひご参考になさってください。

なりすましメールとは？

　なりすましメールとは、悪意のある第三者が企業や団体に偽装して送信するメールのことです。本文に記載されたリンクなどから詐欺サイトに誘導し、企業の電話番号や住所、口座情報、顧客情報などを盗み取ります。

　過去には企業が数億円規模の大金をだまし取られる事件も発生しており、無視できない問題になっています。

なりすましメールの仕組み

　なりすましメールは「Eメールの中の”エンベロープ”と”ヘッダー”にそれぞれ含まれる送信元情報は、異なっていても良い」というEメールの仕組みを利用しています。

　エンベロープとは日本語で「封筒」の意味を持ち、文字通りメールの中身（本文）を運ぶための技術です。エンベロープには、宛先や送信元など、相手先にメールを送信するための情報が格納されています。

　一方、ヘッダは便箋（封筒の中身）に当たります。受信者にはこのヘッダーの送信元情報のみが表示されます。このヘッダーの送信元を偽装したメールがなりすましメールです。ヘッダー（中身）を偽装していても、エンベロープ（封筒）が正しいため相手先の受信ボックスには届いてしまうのです。

なりすましメール送信者の狙い

　なりすましメールの目的は、企業が保有している情報を抜き取ることです。金銭が目的であれば、クレジットカード番号や銀行の口座情報などを対象にします。大企業・有名人・公的機関などを装い、架空請求してくるケースも多いです。

　取引先を装う場合は、「部署の改変により、支払先が変わった」などの文面を送りつけます。会社幹部の場合は「極秘プロジェクトのために〇万円ほど必要になった」などです。いずれにせよ、相手に怪しまれないような巧みな文言を用います。

なりすましメールの手口

　なりすましメールの手口は、「フィッシング詐欺」「クリック詐欺」「キーロガーによる不正アクセス」などが有名です。以下で、詳しく見ていきましょう。

フィッシング詐欺

　個人的な知り合いだけでなく、企業や有名人などになりすまし、個人情報を抜き取る詐欺です。なりすましメールから偽装したサイトに社員を誘導し、パスワードやクレジット番号などを盗み取ります。誘導先のサイトは精巧に作られており、一見すると本物との区別がつきません。

　被害が拡大すると、口座にある資金を不正に引き出されたり、サイトにログインできなくなったりします。フィッシングにより正規のアドレスが乗っ取られているため、受信側がメールを判別するのは容易ではありません。

　自社が被害をこうむる恐ろしさはもちろん、自社のメールアドレスを不正利用されて取引先や顧客に被害が出るパターンもあります。

クリック詐欺

　なりすましメール内にあるリンクをクリックさせて、架空請求先のページに誘導する詐欺です。誘導先のページには「会員登録していただきありがとうございました」「入会金の支払期日は〇月〇日です」などの文面が表示されます。

　ページ内の文言により不安に駆られた社員が、慌てて支払いを済ませるケースが多いです。最近は数回クリックさせ、社員自身が同意したように見せかける手口も横行しています。

キーロガーによる不正アクセス

　キーロガーとは、ユーザーのキーボード操作などを記録するコンピュータープログラムやソフトの総称です。つまりキーボードの操作から、パスワードや個人情報などの機密情報を盗み取る詐欺です。なりすましメールから特殊なソフトウェアをインストールさせることで、キーボードの操作情報を取得します。盗まれたパスワードや個人情報は、口座からの不正送金に利用されたり、重要データのコピーに利用されたりします。

なりすましメールに対する対策

　ここからは、なりすましメールの被害に遭わないため対策をいくつか紹介します。しっかり実践して、会社や社員が詐欺の被害に遭わないようにしましょう。

あやしいメールにあるリンクや添付ファイルは開かない

　差出人が自社の人間や取引先相手であっても、リンクや添付ファイルを安易にクリックすべきではありません。クリックすればパソコンにウイルスが感染し、機密情報が抜き取られる恐れがあります。

URLやメールアドレスは公式のものか確認

　最近のなりすましメールは、本物と見分けがつかないものも多いです。偶然に見覚えのある名前を使っているケースもあるため、少しでも違和感を覚えたら送信元に確認をとるようにしましょう。メール内のURLと本物のURLを比較検証することも大切です。

二段階認証を設定する

　IDやパスワードと同じく、銀行やキャッシュレス決済のサービスに導入されているセキュリティシステムに二段階認証があります。二段階認証とは通常のパスワードに加え、ワンタイムパスワードや認証コードを入力する機能です。2回目のパスワード入力には期限があるため、簡単にアクセスできない仕組みになっています。

　なりすましメールでパスワードをとられたとしても、不正アクセスを防止することが可能です。効果的なセキュリティなので、社内ルールとして徹底させましょう。

パスワードは複雑な文字列にして定期的に変える

　銀行やショッピングサイト、その他クラウドサービスのパスワードは定期的に変更しましょう。パスワードがシンプルで予測のつきやすいものだと、すぐに見破られます。そのため数字・アルファベットの大文字、小文字・記号などを含めた、複雑な文字列にするのがおすすめです。文字列は定期的に変更し、他のサービスと使いまわさないようにしましょう。プライベートと仕事では、パスワードを使い分けることも大切です。

知らない人からSNS登録の申請は安易に承諾しない

　Facebook・Twitter・LINEなどのSNSでは、友人申請からなりすましが発生しています。そのため差出人が見覚えのある企業や取引相手であっても、安易に友達登録しないようにしましょう。

　承諾してしまうと、そこからアカウントの乗っ取りや情報漏洩が発生する可能性があります。漏洩した情報の中にメールアドレスが含まれていた場合、なりすましメールに不正利用されることもあります。

OSやセキュリティソフトの更新を怠らない

　新しいバージョンがリリースされている場合は、最新の状態に更新しましょう。更新を怠ると、セキュリティの脆弱性が解消されなくなり、なりすましに遭う可能性があります。アップデート情報はOSやセキュリティソフトごとに、こまめにチェックしましょう。

企業におけるなりすましメールの対策状況

　なりすましメールの被害が拡大していることを受け、国内企業もSPF・DKIM・DMARCを設定しようという動きが増えてきました。

SPFとは

　SPFとはIPアドレスから、なりすましメールの送信元を特定する技術です。”エンベロープ”に格納された情報を検証し、設定したサーバー以外からのメールをシャットアウトします。SPFが設定されてないものは不審なメールとして扱われ、受信拒否することができるようになります。

DKIMとは

　DKIMとは、電子署名を確認してなりすましメールを特定する技術です。送信元は「秘密鍵」を使って電子署名してから、メールを送信します。受信者は送信元から「公開鍵」を取得してからでないと、メールを受信できません。公開鍵は送信者しか持っていないため、悪意のある第三者の介入を防ぐことができます。

　DKIMを設定していないと、送信元やメールの改ざんなどを判別できなくなります。

DMARCとは

　DMARCとはSPFとDKIMを組み合わせた技術です。SPFやDKIMなどでなりすましメールを特定した後、その処遇を自由に決められます。イギリスやアメリカの政府では、なりすまメールを迷惑メールとして即時削除するよう設定されています。

正しい送信者であると証明することも企業にとって重要

　なりすましメールの被害にあわない対策だけでなく、顧客に一斉メールを送る場合に、正しい送信者であると明確にすることもとても重要です。Will Mailでは、DKIMやSPFに対応したメール配信システムを提供しています。無料トライアルも行っているので、ぜひお試しください。

なりすましメール未対応でメルマガを送信する企業はまだまだ多い

　ただし現状では、企業全体で十分な対策がなされているとはいえません。日本情報経済社会推進協会の「企業のなりすましメール対策調査結果」によると、SPFを設定している企業は全体の約6割、DMARCを設定している企業は1.0%に過ぎない状況です。

参考：日本情報経済社会推進協会｜企業のなりすましメール対策調査結果

まとめ

　なりすましメールをはじめとした詐欺の手口は、年々巧妙化しています。最近は本物と区別がつかないようなメールも増えてきました。そのため、SPF・DKIM・DMARCを適切に設定して、社員一人ひとりに社内ルールを徹底することが大切です。

　当社が提供するメール配信システムWiLL Mailは、なりすましメールの対策技術SPFやDKIMを設定する機能に対応しているため、読者に安心してメールを届けることができます。

また、IPアドレスによるアクセス制限や、オペレーター別の操作ログも残せるため、不正アクセスや社外への情報持ち出しの防止にも効果的です。

　さらに「一般財団法人　日本データ通信協会　迷惑メール対策推進協議会」の会員としても活動しています。メルマガ配信時において読者に安全なメールを送ることをご検討中の企業様は、ぜひお問い合わせくださいませ。