「メールなりすましサービス」の仕組みと対策方法

ブログ,電子メール・セキュリティ

「メールスプーフィング・アズ・ア・サービス」プラットフォームの仕組み、そのリスク(フィッシング、BEC詐欺)、そしてDMARC、SPF、DKIMプロトコルがドメインをどのように保護できるかについて学びましょう。

byアホナ・ルドラ

最終更新日:
7 読了時間:約7分
「メールなりすましサービス」の仕組みと対策方法

「メールスプーフィング・アズ・ア・サービス」とは何か、そのリスク、そしてどのように防御できるかについて解説します。PowerDMARCが実現する適切な認証を通じて、これらの脅威を軽減しましょう。

主なポイント

  1. メールのなりすましとは、送信者アドレスを偽装してメールを送信する行為であり、フィッシングやマルウェアの拡散を助長するものです。
  2. 「メールなりすまし・アズ・ア・サービス」を利用すれば、ユーザーは有料で、なりすましメールを簡単かつ匿名で送信することができます。
  3. これにより、攻撃者が信頼できる主体になりすますことが可能となり、データ漏洩や金銭的損失につながる恐れがあるため、重大なリスクをもたらします。
  4. 電子メールのなりすましを悪用したBEC攻撃により、企業は毎年数十億ドルの損害を被っており、「なりすまし・アズ・ア・サービス(Spoofing-as-a-Service)」の登場により、こうした攻撃を仕掛けるためのハードルが劇的に低下している。
  5. DMARC、SPF、DKIM などの技術的対策は、組織が電子メールの真正性を確認し、なりすましのリスクを低減するのに役立ちます。
  6. なりすましメールに対抗し、全体的なセキュリティを強化するには、ユーザー教育と厳格なメールポリシーの実施が不可欠です。
  7. p=reject のポリシーで DMARC を導入することは、自社のドメインを標的とした「メールスプーフィング・アズ・ア・サービス」攻撃に対する、最も効果的な技術的防御策です。

電子メールのユーザー数は 40億人以上のユーザーを おり、ビジネスに欠かせないツールとなっています。しかし、この人気には特有の課題も伴います。「メールなりすまし・アズ・ア・サービス(SPoFaaS)」の台頭は、電子メール通信のセキュリティと完全性に対する懸念が高まっていることを浮き彫りにしています。

メールのなりすましという手口は、数十年前から存在しています。攻撃者は、偽造したアドレスを使ってメールを送信し、あたかも信頼できる人物から送られたかのように見せかけます。このなりすまし行為が、 フィッシング詐欺、データ漏洩、あるいはマルウェアの拡散の土台となります。 

「スプーフィング・アズ・ア・サービス」は、これをさらに一歩進めたものです。技術的な知識の有無にかかわらず、誰でも簡単に、かつ匿名で偽装メールを送信できるようになります。

その結果は数字に表れています。 PowerDMARCのメールフィッシングおよびDMARCに関する統計によると、ほとんどの業界において、約50%の組織が、ドメインのなりすましを防ぐために必要な認証制御を依然として備えていません。このため、「なりすまし・アズ・ア・サービス(Spoofing-as-a-Service)」プラットフォームは、保護対策が不十分な企業にとって差し迫った脅威となっています。

「メールなりすまし・アズ・ア・サービス」の仕組み

ほとんどの「メールなりすましサービス(Spoofing-as-a-Service)」プロバイダーは、WebベースのインターフェースまたはAPIを通じて運営されています。なりすましメールを送信するには、攻撃者はなりすましたいドメイン、受信者のメールアドレス、およびメッセージを入力します。その後、プラットフォームは「From」フィールドのヘッダーを偽造し、メールを生成して、サービス利用者に代わって自社のインフラを経由して送信します。これに対し、利用者はわずかな手数料を支払います。

その目的は、メールを正当なものに見せかけることにあり、これは送信元が確認されていない場合に発生します。その結果、標的は受信トレイに表示された偽装された送信元のメールアドレスを見て、それが顧客、サプライヤー、あるいは信頼できる連絡先から送られたものと信じてしまうのです。

なぜ危険なのでしょうか?

メールなりすましサービスの仕組みはシンプルで、多くの人が利用しやすいものです。わずかな料金を支払うだけで、なりすましメールを送信できるツールを利用できます。技術的な詳細はサービスプロバイダーが担当するため、利用者は標的とするメールのアドレスを入力するだけで済みます。

まるでGmailやOutlookからメールを送るようなものですが、自分の個人アカウントやIPアドレスを使う代わりに、他人のものを使います。そうすることで、そのメッセージは、まるで信頼できる連絡先から送られてきたかのように、あなたの受信トレイに表示されるのです。

「サービスとしてのメールなりすまし」のリスク

「サービスとしてのメールなりすまし」は、 2024年の米国において最も多く報告されたサイバー犯罪 でした。攻撃者は、信頼できる個人や組織になりすまし、受信者を騙して悪意のあるリンクをクリックさせたり、 機密情報を提供させるさせ、その結果、大規模なデータ漏洩、金銭的損失、および評判の毀損を引き起こした。

また、ビジネスメール詐欺(BEC)のような高度な攻撃にも利用されています。 これは企業を標的とした電子メール詐欺の一種であり、一般的に経営幹部、サプライヤー、またはパートナーを装う手口が用いられます。長年にわたり、この手口だけで企業に数十億ドルの損害をもたらしてきました。

「スプーフィング・アズ・ア・サービス」によって可能となる、最も一般的な2つのBECメール詐欺は以下の通りです:

  • CEO詐欺: 攻撃者がCEOのメールアドレスを偽装し、財務チームに対して、新規のベンダー口座へ緊急の送金を行うよう指示します。そのメールは本物のように見え、適切なタイミングで届き、人的な確認をすり抜けてしまいます。
  • 請求書詐欺: サプライヤーのドメインを装った偽装メールが、多額の支払いに先立ち、買掛金担当チームに対して銀行口座情報の更新を指示し、資金を攻撃者の口座に振り向ける。

直接的な金銭的損失にとどまらず、スプーフィング攻撃は顧客の信頼を損ない、その結果、正当なメールがスパムとしてブラックリストに登録されてしまうことになります。

なりすましメールを見分けるには?

なりすましメールは、必ずしも一目で判別できるとは限りません。堅牢なメールセキュリティ体制を構築する際には、特に技術的な対策が完全に整うまでは、どのような点に注意すべきかを知っておくことが重要です。 

  • 送信者アドレスの不一致: 表示名は既知の連絡先を示していますが、カーソルを合わせると別のドメインが表示されます。メール上で「CEO ジョン・スミス」と表示されているように見えても、実際にはランダムなドメインや類似ドメインである可能性があります。
  • 異常に急を要する内容や要求: なりすましメールは、通常の認証手順を迂回するために、受信者に対し、送金や認証情報の共有、添付ファイルの開封など、時間的制約のある行動を迫ることがよくあります。
  • 「返信先」アドレスが「送信元」アドレスと異なる場合: 攻撃者は、返信先アドレスを別のものに変更することで、返信がなりすましメールではなく自分たちの元に届くようにします。
  • 認証に失敗したヘッダー: メールヘッダー全体を確認することで、そのメッセージがSPF、DKIM、DMARCのチェックに合格したかどうかが判明します。いずれかのチェックに失敗した場合は、なりすましの有力な兆候となります。
  • 類似ドメイン: 攻撃者は、本物のドメインと非常によく似たドメイン(例:paypal.com の代わりに paypa1.com)を登録します。PowerDMARCの 「類似ドメインチェッカー」 を使用して、自社ブランドを装うドメインを特定してください。

PowerDMARCの メールヘッダーアナライザー は、SPF、DKIM、DMARCの認証結果を直接解析し、より詳細な技術的検査を行います。

「サービス型」メールなりすましの防止

電子メールのなりすまし攻撃に対する解決策は、技術的対策と非技術的対策を組み合わせることです。技術的な側面では、 DMARC (Domain-based Message Authentication, Reporting, and Conformance)、 SPF (Sender Policy Framework)、および DKIM (DomainKeys Identified Mail) プロトコル。 

彼らは メールのなりすましを防止します 。送信者のメールアドレスが、送信元として主張されているドメインと一致していることを検証することで、これを防ぎます。各方式の詳細な比較については、PowerDMARCのガイド「 SPF vs DKIM vs DMARCに関するPowerDMARCのガイドを参照してください。

実装においても、順次的なアプローチに従う必要があります:

  • 現在の設定を確認しましょう: PowerDMARCの「DMARCレコードチェッカー」を使用して、ドメインにポリシーがすでに公開されているか、また正しく設定されているかを確認してください。
  • SPFレコードを公開する: ドメインを代表してメールを送信する権限を持つすべてのIPアドレスとサービスを、DNSのTXTレコードに一覧として記載してください。
  • DKIM署名を有効にする: 送信メールにDKIM秘密鍵で署名を行うようメールプラットフォームを設定し、受信サーバーが署名を検証できるようにします。
  • まずは p=none で DMARC を導入してください: 適用に移行する前に、まずDMARCの集計レポートを収集し、すべての正当な送信元を特定することから始めます。
  • p=reject への移行: すべての正当な送信者が登録されたら、DMARCポリシーを「p=reject」に設定してください。これにより、受信サーバーは認証に失敗したメールをすべて破棄するよう指示され、ドメインから送信されたなりすましメールを完全にブロックします。

非技術的な対策は、人的ミスの発生確率を低減することを目的としています。 従業員に対し、メールのなりすましによるリスクや、 フィッシングメール について従業員を教育することは、攻撃の成功を防ぐのに役立ちます。 また、 多要素認証 と強固なパスワードを義務付けるメールポリシーを策定し、徹底させましょう。

「As-a-Service」型攻撃に対する懸念の高まり

「アズ・ア・サービス」型攻撃では、ハッカーは汎用化されたサービスを利用して、大規模な悪意のある活動を実行します。電子メールのセキュリティに関連する一般的な攻撃は、「サプライチェーン攻撃」と「ソフトウェア・アズ・ア・サービス(SaaS)攻撃」の2つのカテゴリーに分類されます。

  • 前者のケースでは、攻撃者は、侵害されたベンダーやサードパーティのサプライヤーを利用して、標的となる企業のネットワークへのアクセス権を取得します。
  • SaaS攻撃では、攻撃者は標的となる企業が提供する正規のSaaSアプリケーションを利用して、そのネットワークへのアクセス権を取得します。

「As-a-service」型のサイバー攻撃は、さまざまな手法で実行されます。システムにマルウェアを感染させることで、ハッカーはデータや認証情報にアクセスできるようになります。また、Microsoft Outlook などのメールクライアントを含む、サードパーティ製アプリケーションの脆弱性を悪用することもあります。多くの攻撃者は、偽装されたアドレスから巧妙に作成された偽のメールを大量に送信し、認証情報を収集したり、不正な取引を承認させたりしようとします。

AIを活用したフィッシングツールの使用も、特に懸念される手法の一つです。攻撃者は、大規模言語モデル(LLM)をますます多用し、高度にパーソナライズされた説得力のある偽装メールを大量に作成しています。従来のソーシャルエンジニアリング対策では、それらを回避するために特別に構築された手法に対しては効果がありません。

必読: これらの新たな脅威に関する詳細については、以下のブログ記事をご覧ください。 「AIエージェントのセキュリティ:リスク、ベストプラクティス、およびメール認証」 (PowerDMARC著)をご覧ください。

「メールなりすまし・アズ・ア・サービス(Email spoofing-as-a-service)」は、現在、この広範な「アズ・ア・サービス」型脅威環境への最も入手しやすい侵入経路の一つとなっています。これらのサービスは、説得力のあるなりすまし攻撃を仕掛けるために必要な技術的ハードルを劇的に引き下げ、クライアントに代わって技術的な複雑さをすべて処理してくれます。

結論

「メールなりすまし・アズ・ア・サービス(Email spoofing-as-a-service)」は、今や企業にとって組織化された脅威となっています。攻撃者はこうしたプラットフォームを利用して、信頼できる個人や組織になりすまし、データや資金、さらには評判の損失を招いています。

そのリスクを排除するには、技術的対策と非技術的対策の両方が必要です。つまり、認証プロトコル、ユーザーへの教育・啓発、および安全な電子メール利用に関するポリシーへの投資が必要となります。 

PowerDMARCの DMARCマネージドサービス を利用すれば、メール保護において、受動的な監視から能動的な対策へとスムーズに移行できます。自動化されたDMARCレポートSPFフラット化ホスト型DKIM、そして24時間体制のサポートにより、メールなりすましなどの脅威が進化しても、ドメインを確実に保護し続けます。

よくあるご質問

1. 「メール・スプーフィング・アズ・ア・サービス」とは何ですか?

「メールスプーフィング・アズ・ア・サービス」とは、わずかな料金を支払うことで、偽装された送信者アドレスからメールを送信するためのツールをユーザーに提供する、サイバー犯罪プラットフォームの一種です。これらのサービスは、スプーフィングに伴う技術的な複雑さを処理するため、技術的な知識のない攻撃者であっても、信頼できる組織や個人になりすまして、大規模な攻撃を行うことが可能になります。

2. 「メールなりすまし・アズ・ア・サービス」はどのように機能するのでしょうか?

ユーザーは、送信者として表示させたいメールアドレス(「From」アドレス)、受信者のメールアドレス、およびメール本文を入力します。その後、プラットフォームがヘッダーを偽造し、独自のインフラを通じてメールを転送するため、攻撃者がなりすまし対象のドメインのメールサーバーを制御する必要がなくなります。

3. 自分のメールアドレスがなりすまされるのを防ぐにはどうすればよいですか?

最も効果的な技術的な防御策は、適切に設定されたSPFおよびDKIMレコードを基盤として、p=rejectに設定されたDMARCレコードを公開することです。これにより、受信メールサーバーは、認証に失敗したメールをすべて拒否するよう指示されます。

4. メールのなりすましとフィッシングの違いは何ですか?

メールのなりすましとは、具体的には送信者のメールアドレスを偽装することを指します。フィッシングは、欺瞞的なメールを用いて受信者をだまし、認証情報を明かさせたり有害な行動をとらせたりする、より広範な攻撃手法です。フィッシングでは、多くの場合、なりすましを手法の一つとして用います。有名なブランドや個人を装うフィッシングメールはすべて、何らかの形でなりすましに依存していますが、なりすましメールのすべてがフィッシング攻撃であるわけではありません。

5. DMARCは「メールなりすましサービス」を阻止できるか?

はい。DMARCは、ドメインのなりすましを防止するために特別に設計されています。DMARCポリシーが「p=reject」に設定されている場合、受信メールサーバーは、貴社のドメインから送信されたと主張しているものの、SPFまたはDKIMの認証チェックに失敗したメールをすべて破棄します。つまり、「なりすまし・アズ・ア・サービス(Spoofing-as-a-Service)」プラットフォームは、貴社のドメインを装ったメールを、保護された受信箱に正常に配信することができなくなります。

6. メールスプーフィング・アズ・ア・サービス(SPaaS)のプラットフォームは違法ですか?

「メールスプーフィング・アズ・ア・サービス」を利用して詐欺的または欺瞞的なメールを送信することは、ほとんどの法域において、コンピュータ詐欺、スパム対策、および電信詐欺に関する法律に基づき違法とされています。しかし、こうしたプラットフォームは国境を越えて運営されていることが多く、法執行が困難となっています。組織にとって最も確実な保護策は、DMARC、SPF、およびDKIMプロトコルを導入し、スプーフィングされたメールが受信者に届くのを防ぐことです。

最新記事 by Ahona Rudra(全て見る)
最終更新日:
Eメールセキュリティサービスの販売方法:MSP向けガイドMSP向けメールセキュリティサービスの販売ガイドNIST-SP-800-81r3--電子メールのためのDNSセキュリティガイドラインNIST SP 800-81r3:電子メールのためのDNSセキュリティガイドライン