受信トレイを開くと、銀行からの緊急メッセージが届いている。あなたの口座が危険にさらされており、すぐに情報を確認する必要があるという内容だ。一生懸命稼いだお金を守ろうと、リンクをクリックしながら心臓が高鳴る。しかし、ちょっと待って!あなたは今、古くからある手口のひとつに引っかかってしまったのではないだろうか?
最近このことを調べていて、詐欺メールの巧妙さに驚いた!スペルが稚拙だったり、明らかにナイジェリアの王子様を装った、簡単に見破れる詐欺メールの時代は終わった。今日の偽メールアドレスは、本物とほとんど見分けがつかない。
Eメールが偽物かどうかを見分ける方法はいくつかありますが、どれも確実ではありません。いくつかのテクニックを組み合わせる必要があり、それでも100%確実とは言えない。しかし、かなり近づけることはできる。メールヘッダーの解析から、フィッシング攻撃の背後にある心理の理解まで、受信トレイとあなたの個人情報を安全に保つために知っておくべきことをすべて網羅します。
基本送信者の偽メールアドレスを調べる
詐欺師を捕まえるには、詐欺師のように考える必要があります。ほとんどの詐欺師は、リンクをクリックしたり、添付ファイルをダウンロードしたり、個人情報や金融情報を共有したりと、あなたを騙して何らかの行動を起こさせるというシンプルな目標から始めます。しかし、彼らはどうやってあなたをそこまで誘導するのだろうか?その答えは、心理学と技術的なトリックの組み合わせにある。
まず、最も簡単なテクニックから始めよう。メールアドレスそのものを見るのだ。
ドメインの模倣を見抜く
まず、メールのドメインを確認しましょう。信頼できる企業からのメールであれば、ドメインはその企業の公式ウェブサイトと一致しているはずです。例えば、アマゾンからのメールは@amaz0n.comではなく、@amazon.comから来るはずです。
スパマーは、 typosquatting(タイポスクワッティング)のようなテクニックを使い、正規のドメインとよく似たドメインを登録する。例えば、gooogle.com(oが3つある)を登録し、それを使ってGoogleからのように見せかけたフィッシング・メールを送ることがある。
サブドメイン騙されないで
もう1つのよくある手口は、サブドメインを使って偽のアドレスを合法的に見せることだ。例えば、「paypal.secure-login.com」は一見するとPayPalからのメールのように見えますが、「secure-login.com」が実際のドメインです。常にルートドメイン(.comや.orgなどの直前の部分)を見て、真の送信者を判断しましょう。
欺瞞的な表示名を探す
詐欺師は、フィッシングメールの表示名を操作して、あたかもあなたが知っている人物からのメールであるかのように見せかけることができます。
例Amazonカスタマーサポート」からのEメールに見えても、実際のEメールアドレスは[email protected]。
確認方法 表示名にカーソルを合わせるかクリックすると、実際のメールアドレスが表示されます。これにより、メールの本当の送信元が表示され、正当なメールかどうかがすぐにわかります。
ユニコードのトリック
この巧妙な手口は、標準的な文字と同じように見える非ラテンアルファベットの文字を使うというものだ。例えば、 キリル文字の「а」(U+0430)はラテン文字の「a」と全く同じに見えるが、詐欺師は別のドメインを登録することができる。
例 正規のEメールアドレス:apple.com なりすまし詐欺Eメール:аpple.com (違いにお気づきだろうか?見た目には1つもない!)
疑わしい場合は、アドレスをコピーして Unicodeインスペクターツールに貼り付け、非標準文字をチェックすることができます。非標準文字がすべて明らかになります。
偽メールアドレスのランダム文字
偽の電子メールアドレスでもう一つ探すべきことは、数字や文字のランダムな文字列です。特定の目的のために自動生成されたアドレスでない限り、本物のメールアドレスにこのような文字列が含まれていることはほとんどありません。[email protected] からのメールを見た場合、[email protected] からのメールよりも偽の可能性が高い。
しかし、これも厳密なルールではありません。メールアドレスに乱数を使う人もいます。特に、名前が共通で、他の人と自分のアドレスを区別する必要がある場合です。
返信先フィールド
次に調べるべきは、"reply-to "アドレスである。これは、メールクライアントに返信の送信先を指定するものです。
なぜ重要なのか
正規のメールは通常、返信先アドレスが送信者と同じドメインに設定されています。もしそれが違っていたら、特に無料のメールサービスなら、それは警告のサインです。詐欺師は、 なりすましのドメインを実際には管理していないため、別の返信先アドレスを使わざるを得ないことが多いのです。
例電子メールは [email protected] から送信されたように見えるが、「Reply-To」アドレスは [email protected] に設定されているかもしれない。
チェック方法
Gmailでは、送信者名の横にあるドロップダウンの矢印をクリックすると、返信先アドレスが表示されます。他のメールクライアントでは、返信先を確認するために返信を作成する必要がある場合があります。返信先が送信者と一致しない場合は、注意が必要です。
時には、詐欺師は返信先フィールドをわざわざ変更しないこともあります。その代わり、メール本文に別のアドレスに返信するよう求める文章を入れる。これも同様に疑わしい。
認証指標技術的チェック
さて、ここからは技術的な話に入る。最初は複雑に思えるかもしれないが、一度何を見るべきか分かれば、それほど難しくはないので心配しないでほしい。
認証インジケーターとは何か?
これらは、メールが本当にそのドメインから来たものであることを確認するためのチェックである。
SPF、DKIM、DMARC
主な認証指標は以下の3種類である:
- SPF(SenderPolicy Framework):これは、送信者のIPアドレスがそのドメインのメールを送信することを許可されていることを確認するのに役立ちます。このリストに載っていないサーバーからメールが来た場合は、偽物の可能性が高い。
- DKIM(DomainKeysIdentified Mail):DKIMは電子メールの改ざん防止シールのようなものです。電子メールにデジタル署名を追加することで、そのメールが本当にあなたからのものであり、受信者に届く途中で変更されていないことを証明します。
- DMARC(Domain-basedMessage Authentication, Reporting & Conformance):DMARCポリシーは SPFとDKIMの上に構築され、ドメイン所有者はこれらのチェックに不合格となった不審なメールの処理方法を指定することができます。DMARCポリシーはSPFとDKIMの上に構築され、これらのチェックに不合格になった不審なメールの処理方法をドメイン所有者が指定できるようにする。
チェック方法
残念ながら、ほとんどの電子メールクライアントは、重要な認証情報を目立つように表示しないため、ユーザーが電子メールの正当性を迅速に確認することが難しくなっている。
Gmailのように、「mailed-by」と「signed-by」の情報をメールビューに直接表示するものもあり、メールの信憑性を素早く知ることができます。より詳細なチェックには、メールヘッダ全体にアクセスすることができます。
Gmailでは、返信ボタンの横にある3つの点をクリックし、「オリジナルを表示」を選択すると、SPFと DKIMの詳細な チェック結果が表示されます。
何を見るべきか
グーグル、アップル、マイクロソフトなど、評判の高い大手企業であれば、これら3つ(SPF、DKIM、DMARC)すべてがパスしているはずだ。中小企業の場合は、少なくともSPFとDKIMはパスするはずです。
大規模な組織からのメールと思われる場合、ここでの失敗は非常に疑わしい。とはいえ、これらのチェックに合格したからといって、そのメールが安全だと保証されるわけではありません。ただ、そのメールが本当にそのドメインから来たということを意味するだけです。詐欺師は、適切な認証で偽のドメインを設定することができます。ですから、あなたが期待する正しいドメインであることを確認する必要があります。
しかし、メールのヘッダーを読むのは簡単ではありません。ほとんどの人が理解できない技術的な情報でいっぱいだからだ。スパマーはそれを知っているので、合法的に見えるヘッダーを偽造することに長けている。
ビア」の手がかり
メールを受信すると、通常、送信者のメールアドレスが一番上に表示されます。時々、送信者のアドレスの横に「via」という単語と別のドメイン名が続いて表示されることがあります。これは、実際にメールを送信しているサーバーが、表示されているメールアドレスと異なる場合に起こります。
例 次のようなメールを受け取ったとしましょう:
From:[email protected] via xyz.com
この場合、メールはPowerDMARCからのものだと主張しているが、実際にはメールマーケティングサービスであるxyzを通して送信されている。
これには正当な理由がある。多くの企業は、ニュースレターや宣伝メールを送るためにメールサービスを利用しています。しかし、詐欺師は自分のメールアカウントをより公式に見せるためにこのトリックを使うこともあります。
PowerDMARCでフィッシング詐欺を防ぐ!
コンテンツのレッドフラッグ:メールに書かれていること
技術的なチェックも重要ですが、フィッシング・メールの内容そのものが最大の手がかりになることもあります。詐欺師は感情を操り、即座に行動を起こさせるようなシナリオを作る専門家です。この手口は "ソーシャル・エンジニアリング"として知られています。切迫感を煽ったり、金銭的な利益への欲求に訴えたりすることで、個人情報を開示させたり、悪意のあるリンクをクリックさせたりすることを狙っているのです。
典型的なフィッシング詐欺メールはこう主張するかもしれない:
- あなたは相当な大金を手にした。
- あなたのアカウントは侵害されており、直ちに対処する必要があります。
- 荷物の配達に失敗したので、スケジュールを変更する必要があります。
- 緊急の請求書または業務依頼が保留されています。
このようなフィッシングメールは合法的に見えるようにデザインされており、見慣れたロゴやフォント、レイアウトが使われていることもあります。その目的は、メールの信憑性について批判的に考えることなく、素早く反応するように仕向けることです。
緊急性と脅威
サイバー犯罪者は、恐怖と緊急性が迅速な行動を促すことを知っています。偽メールは、あなたを怖がらせ、切迫感を与えようとするかもしれません:「支払い情報をすぐに更新しなければ、あなたのアカウントは閉鎖されます」、「おめでとうございます!おめでとうございます!賞金を受け取るにはここをクリック"、あるいは自然な好奇心を起こさせる("あなたのプロフィールを見た人を見る")。この種のフィッシング攻撃は、あなたの理性的思考を迂回させることを意図しています。
このようなフィッシングメールを受け取ったら、立ち止まって考えてみよう。合法的な企業がEメールであなたを脅すことに意味はあるのでしょうか?ほとんどの実在する組織は、このような手口は使いません。また、コンテストや抽選に応募していなければ、当選する可能性は低いでしょう。合法的な組織が、迷惑メールで大金をプレゼントすることはないことを覚えておいてください。
このようなフィッシング・メールを受け取った場合は、確認済みの連絡方法を用いて直接その会社に連絡し、そのメールが正当なものであるかどうかを確認してください。
機微(センシティブ)情報の要請
合法的な企業は通常、電子メールで機密情報を要求することはありません。個人情報、アカウント情報、社会保障番号、クレジットカードの詳細などを返信するよう求めてくるメールは、ほぼ間違いなく偽物です。
予期せぬアタッチメント
多くの詐欺師は、 悪意のある添付ファイルを使用して マルウェアやウイルスを配信し、コンピュータに感染させて個人情報を盗むことがよくあります。予期せぬ添付ファイルを受け取った場合、特にそれが.zipファイルや、.exe、.scr、.vbsのような変わったファイルタイプの場合は、十分注意してください。PDFやWord文書のような一見無害なファイルタイプであっても、有害なマクロが含まれていることがあります。
不審な添付ファイルの対処法
- 絶対に開かないでください:予期せぬ添付ファイルを受け取った場合は、信頼できる送信元からのものであることを確認しない限り、開かないこと。
- ウイルス対策ソフトウェアを使用する:ウイルス対策ソフトが最新であることを確認し、添付ファイルを開く前にスキャンする。
文法、スペルミス、矛盾
正当なメールにも間違いがあるため)完全ではありませんが、文法の不備や複数の間違いは赤信号となる可能性があります。詐欺師は必ずしも自分が書いている言語をしっかり理解しているとは限りませんし、より目の肥えた受信者を排除するために、意図的に壊れた文法をフィルターとして使っている場合もあります(文法の間違いに気づいて敬遠する人は、フィッシングに引っかかる可能性が低くなります)。そのため、文法やスペル、文法の間違いをチェックすることが、偽のメールアドレスを見分ける最も簡単な方法のひとつなのです。
正規の企業には、プロフェッショナルでミスのないコミュニケーションを保証するための専門チームがあります。通常、一貫性のあるプロフェッショナルなEメールテンプレートを用意しています。大企業を名乗るメールが素人っぽかったり、書式に一貫性がなかったりしたら、それは偽物かもしれません。
「Dear Customer(お客様各位)」や「Hello User(こんにちは、ユーザー各位)」もまた、死語かもしれない。正規の企業は通常、あなたの詳細情報を登録しているため、あなたの名前で挨拶します。偽メールは、大量に送信されるため、一般的な挨拶が使われることが多い。
ミスマッチ・リンク
詐欺師がよく使う手口のひとつに、メールに悪意のあるリンクを埋め込むというものがあります。このような不審なリンクは、ログイン情報を盗んだり、デバイスをマルウェアに感染させたりするように設計された、予期しない偽のウェブサイトにつながることがよくあります。
例例:電子メール内の悪質なリンクのテキストには"www.yourbank.com"と書かれていても、その上にカーソルを置くと、実際のURLは"www.scamsite.com/login "のようにまったく別のものになる。これはマスクされたURLまたは隠されたURLと呼ばれます。
リンクの検証方法
できる:
リンクにカーソルを合わせる
クリックせずにカーソルをリンクの上に置いてください。そうすると、実際のURLのリンク先が表示されます。不審に見えたり、公式ウェブサイトと一致しない場合は、クリックしないでください。リンクをクリックする代わりに、検索エンジンに企業名を入力して公式ウェブサイトを見つけましょう。スパマーは URL短縮ツールやその他のテクニックを使って、リンクの本当の宛先を隠すことがあります。また、メールクライアントによっては、埋め込まれたリンクにカーソルを合わせてリンク先を確認できないものもあります。
HTTPSを探す
正規のウェブサイトは通常、URLが`https://`で始まり、南京錠のアイコンが付いている。しかし、詐欺師も悪意のあるウェブサイトを保護することができるため、これは完全ではありません。
ニセの荷物配達通知
オンラインショッピングの増加に伴い、詐欺師は悪意のあるリンクをクリックさせるために偽の荷物配達通知に目をつけた。
例 「荷物の配達に失敗しました。スケジュールを変更するにはここをクリックしてください。"
何をすべきか:
- 差出人のメールアドレスを確認する:メールが配送会社の公式ドメイン(例:@fedex.com`または`@ups.com`)から送信されていることを確認します。
- お客様のアカウントに直接ログインしてください:リンクをクリックする代わりに、会社のウェブサイトに直接アクセスして荷物を追跡してください。
フィッシング詐欺の例
これらの原則が実際にどのように適用されるのか、いくつかの例を見てみよう。
古典的なペイパル詐欺
From: [email protected] Subject:アカウントが制限されました!本文大切なお客様へ、お客様のアカウントに異常な動きがあることに気づきました。以下のリンクをクリックしてお客様の情報を確認し、アカウントへの完全なアクセスを回復してください。[リンク]
レッドフラッグ
- ドメイン偽装(paypal.com.secure-account.com)
- 緊急の件名
- 一般的な挨拶
- リンクのクリックと情報入力の要求
洗練されたCEOの詐欺
From: [email protected] Subject:緊急電信送金依頼 本文: [社員名]、新規買収のための緊急電信送金を処理してほしい。これは一刻を争う機密事項です。至急50,000ドルを以下の口座に送金してください:[口座詳細]
完成したら教えてくれ。
[CEOの名前]
レッドフラッグ
- 緊急の金銭要求
- 迅速な行動を求める圧力
- 守秘義務の要請
- 高級幹部からの異例の要請
BEC(Business Email Compromise)と呼ばれるこの種の詐欺は、 企業に数十億ドルの損害を与えています。多くの場合、役員の電子メール・アカウントを侵害したり、なりすましたりして、不正送金を要求します。
偽物に見える正当な電子メール
以前取引したことのある中小企業からメールが届く。認証チェックは通らず、メールにはいくつかのタイプミスがあります。あなたの最初の直感は、それを スパムとしてマークすることかもしれません。
しかし、送信者のアドレスが、あなたがこの企業と以前にやり取りした内容と一致していることに気づく。メールの内容には、その企業との最後のやりとりに関する具体的な詳細が記載されています。この場合、チェックに失敗したにもかかわらず、メールは正当なものである可能性があります。この例は、技術的なチェックだけでなく、文脈や送信者との関係など、複数の要素を考慮することが重要である理由を示しています。
これらのチェックの限界
これらのチェックをすべてパスしたメールであっても、送信者のアカウントがハッキングされていれば、理論的にはまだ悪意のあるメールである可能性があることは注目に値する。そのため、常に内容を批判的に考え、その差出人から送られたメールに意味があるのかどうかを確認するようにしましょう。
また、これらのチェックは主に、そのメールが誰からのものかを確認するのに役立つことを覚えておいてください。送信者自身が信頼に足る人物かどうかは、必ずしもわかりません。詐欺師は、これらのチェックをすべてパスする適切な認証ドメインを設定することができますが、それでも悪意のある目的に使用されます。
偽メールやフィッシング攻撃から身を守るための積極的な対策
偽アドレスの兆候に気づくことは、戦いの半分に過ぎません。自分自身と組織を守るための積極的な対策を講じることも同様に重要です。
最新の詐欺情報
偽メールの手口は常に進化しています。現在のフィッシング詐欺に関する情報を常に入手することで、新しいタイプの偽メールを見破ることができます。多くの組織が、新しいEメール詐欺に関する最新情報を定期的に発表しています。例えば、FBIのInternet Crime Complaint Center(IC3)は、最新のサイバー脅威や詐欺に関するアラートを発表しています。同様に、 連邦取引委員会(FTC)は、最新の詐欺行為に関する貴重な洞察を提供しています。また、より深く知りたいのであれば、フィッシング詐欺に特化した Anti-PhishingWorking Group(APWG)がある。
また、AIが生成した詐欺や音声フィッシング(ヴィッシング)にも注意しよう。人工知能によって、詐欺師は説得力のある、パーソナライズされたフィッシング・メッセージを大規模に作成しやすくなっている。一方、一部の詐欺師は、このような電子メールの手口と音声や電話を組み合わせており、多くの場合、AIを使って声のクローンを作成し、より複雑で潜在的に信じられる詐欺を作り出している。ヴィッシングと呼ばれるこの手口は、従来のフィッシング攻撃に聴覚的な要素を加え、潜在的な被害者が真実を見分けることをさらに困難にしている。
メールフィルタリングソリューションの使用
高度なスパムフィルターは、偽メールが受信トレイに届く前に検知し、ブロックするのに役立ちます。これらのソリューションは、機械学習と人工知能を使用して、電子メールのコンテンツ、送信者情報、およびその他のメタデータを分析し、潜在的に悪意のある電子メールを識別します。
情報漏えい通知サービス
Have I Been PwnedやAvast Hack Checkのような正規のサービスを使って、あなたのメールアドレスが データ漏洩に巻き込まれていないかどうかを確認しましょう。
電子メール認証プロトコルの導入
SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance)などのメール認証プロトコルを使えば、なりすましからドメインを守ることができます。
残念ながら、メール認証は期待するほど普及していない。ある試算によると、80%以上のドメインが SPFレコードをまったく持っていない。また、SPFレコードを持つドメインでも、その多くは厳格なポリシーを適用していません。最も包括的なメール認証方法とされるDMARCを使用しているドメインはさらに少ない。これらの保護が行われている場合でも、必ずしも正しく設定されているとは限りません。
堅牢な電子メール認証の実装を検討している企業に対して、PowerDMARC は包括的なソリューションを提供します。同社のプラットフォームは、DMARC、SPF、DKIMレコードの設定と管理のプロセスを簡素化します。
主な特徴
- DMARCレコードジェネレーター:DMARCレコードを簡単に作成・管理。
- SPFレコード管理:SPFレコードを最適化し、 なりすましメールを防止します。
- DKIMセットアップアシスト:DKIMジェネレータツールを使用して、お客様のドメインにDKIM署名を実装します。
- フォレンジックレポート:メール認証の失敗に関する詳細な洞察を得ることができます。
- 脅威インテリジェンス:貴社のドメインに対する潜在的な脅威を特定します。
PowerDMARCのようなサービスを利用することで、企業はドメインがフィッシング攻撃に利用されるリスクを大幅に減らすことができ、ブランドの評判と顧客の両方を守ることができる。
警戒を怠らない
詐欺師は常にテクニックを進化させています。しかし、差出人アドレス、返信先フィールド、認証結果を注意深く調べることで、ほとんどの偽メールを捕まえることができる。これらの方法は、あなたの自然な懐疑心を増幅させる補助であって、その代わりではないと考えましょう。車の安全装置のようなもので、事故を防ぐのに役立つが、それでも注意深く運転する必要がある。結局のところ、少しでも怪しいと感じたら、そのメールはそのように扱うことだ。フィッシング詐欺に引っかかるくらいなら、本物のメールを無視した方がいい。
フィッシング詐欺に騙されない人はいない。技術に精通した人であっても、十分に巧妙なフェイクに騙される可能性があります。
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- 2025年からDMARCがペイメントカード業界に義務付けられる- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日