なりすましメールとは？仕組みや見分け方・有効な対策方法まで解説！

なりすましメールとは？

なりすましメールとは、その名のとおり「何者かになりすまして送付されるメール」のことです。

具体的には、銀行やクレジットカード会社、その他さまざまな機関や人を装ってメールを送付し、悪意のあるリンクに遷移させます。その後、遷移先ページでクレジットカード情報やインターネットバンキングのログイン情報を入力させたり、マルウェアに感染させたりするのが狙いです。

問題となった背景と現状について

従来、なりすましメールは文面が英語であることが多く、日本語であっても言い回しがおかしいものが多いという状況でした。そのため、なりすましメールの受信者は「怪しい」ことにすぐ気づくことができ、騙されてしまうケースは多くありませんでした。

一方、近年では文章が不自然ではない日本語のなりすましメールも増えたため、実際に騙されて被害に遭う人も増えています。もっとも、メールの仕組み自体、なりすましが容易であるという問題もあります。

具体的には、メールは1970年代に策定された「SMTP(シンプル・メール・トランスファー・プロトコル)」という仕組みで動いており、この仕組みでは送信者が誰かということを確認できません。

2022年現在、なりすましメール対策として送信者情報が本当のものかどうかを確認する技術(送信ドメイン認証技術)が発達しています。送信ドメイン認証技術による対策は有効だといわれているものの、その普及はまだ十分ではありません。なりすましメールへの対策方法について、詳しくは後述します。

なりすましメールの仕組みと手法

ここからは、なりすましメールの仕組みと、代表的な2つの手法を確認していきましょう。

なりすましメールの仕組みを解説

なりすましメールの仕組みは、悪意のある人(フィッシャー)が、「誰か」になりすますことでユーザーからの信頼を得て、その信頼を利用してユーザーの情報を騙し取ったり、添付ファイルを経由してウイルスに感染させたりするというものです。

なりすましメールの技術的な仕組みは、簡単に言うと、ユーザーが差出人として認識するアドレスと実際のアドレスが異なっていても問題なく送信できるという仕組みが利用されています。

郵便物に例えるなら、封筒に記載された差出人のことは「エンベロープfrom」と呼び、便箋における差出人は「ヘッダーfrom」と呼びます。実際にメールの配信に用いられるのはエンベロープ情報ですが、ユーザーが目にするのはヘッダー情報です。

そして、エンベロープfromとヘッダーfromは異なっていても問題がなく、ユーザーがメールソフト上で差出人と認識するヘッダー情報は、ディスプレイネームなどとして自由に定めることができます。

ビジネスメール詐欺(BEC)

なりすましメールの手法の1つに、ビジネスメール詐欺(BEC：Business E-mail Compromise)があります。ビジネスメール詐欺は、ビジネス上の関係者を装って相手を騙そうとする詐欺のことです。

実際、2019年8月には大手自動車部品メーカーの欧州の子会社で、ビジネス関係者を装った第三者によって約40億円相当の送金指示が出され、資金が流出してしまいました。

その他、取引先を装って偽の請求書を送ったり、詐欺行為の事前準備として従業員の情報を騙し取ったりする手口があります。

標的型攻撃メール

標的型攻撃(Targeted Attack)メールとは、あらかじめターゲット(標的)が定められて送付されるメールのことです。不特定多数にばらまかれるのではなく、ターゲットを絞ってより効率的な攻撃が図られています。

不特定多数にばらまかれたメールは怪しいと気づくことができても、標的型攻撃メールは気づくのが難しいという特徴があります。また、セキュリティソフトのフィルターにもかかりにくいという問題があります。

なりすましメールの主な種類

なりすましメールの主な種類として次の3つが挙げられます。

• フィッシング詐欺
• ワンクリック詐欺
• キーロガー

それぞれどのようななりすましメールなのか確認していきましょう。

1.フィッシング詐欺

フィッシング詐欺とは、これまで紹介してきたとおり金融機関などを装ってユーザーを騙し、情報などを盗み取る詐欺のことです。フィッシング対策協議会によれば、「フィッシング」について次のように定義されています。

実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取すること。

[引用:フィッシング対策協議会「フィッシング対策ガイドライン 2022年度版」より]

なお、フィッシングの行為者はフィッシャーと呼ばれ、メールで誘導するWebサイトのことはフィッシングサイトと呼ばれます。

2.ワンクリック詐欺

ワンクリック詐欺は、メールなどに記載されたURLをクリックすると、遷移先で「登録完了」などと表示されたうえで、「入会日から1週間以内にお支払いください」などと送金を要求する詐欺のことです。

その他、ワンクリック詐欺には次のような特徴があります。

• 規約に同意して登録が完了したことを強調している
• お客様IDや端末情報などを画面上に表示し、個人が特定されたかのように見せて不安を煽る
• 金額と支払期限が表示され、問い合わせ先も表示されている

なお、ワンクリック詐欺で示された問い合わせ先に連絡してしまうと、個人情報を聞かれたり、助けるように見せて調査費用を請求されたりすることがあります。

3.キーロガー

キーロガーとは、キーボードの入力を記録するソフトウェアのことです。なりすましメールで添付されたファイルをダウンロードしたり、記載されたURLに遷移することでインストールされてしまいます。

例えばインターネットカフェのPCにキーロガーを仕込んでおき、利用者がSNSやインターネットバンキングにログインした際のIDやパスワードを盗み取られるケースなどがあります。

なりすましメールの見分け方と対策方法

なりすましメールによる被害に遭わないためには、なりすましメールの見分け方を知っておく必要があります。対策方法と併せて紹介していきますので、ぜひ参考にしてください。

正規のメールアドレス・URLかどうか確認する

メールを利用する際は、受信したメールについて、メールアドレスやURLが偽物ではないかと疑うことが重要です。

例えば、アルファベットの「l(える)」が数字の「1(いち)」に、アルファベットの「O(おー)」が数字の「0(ぜろ)」に、「.com」などのドメイン名が「.xyz」に変わっていないかなどをチェックします。もっとも、URLの偽装手口はさまざまなものがあり、簡単に見分けることが難しいことも少なくありません。

そのため、URLをクリックするよう促されている場合、メールに記載されたURLをクリックするのではなく、Webブラウザーから直接検索してアクセスするようにしましょう。もしくは、普段利用しているWebサイトであればブックマークを利用するのも1つの手です。

記載されているリンクやファイルに注意する

メールに記載されているリンクや添付ファイルは、安易に開かないようにしましょう。

メールの本文だけで用件が完結せず、「詳細はこちらからご確認ください」などURLへの遷移や添付ファイルのダウンロードを強く促されている場合は特に注意が必要です。

こういった攻撃を避け、マルウェアなどに感染しないようにするためには、まず「送られてきたメールの文面を見るだけで完結しないものは、すべて『怪しいメール』として警戒する」ことが必要です。

[引用:サイバーセキュリティ・ポータルサイト「インターネットの安全・安心ハンドブックVer 4.20」より]

送信ドメイン認証の機能を活用する

なりすましメールの対策方法として有効なのが、送信ドメイン認証技術です。送信ドメイン認証技術とは、前述した封筒に相当するエンベロープ情報と、便箋に相当するヘッダー情報について検証し、なりすましを検証する技術を指します。

送信ドメイン認証技術にはSPFやDKIMといった要素技術があるため、以降で簡単に解説します。

SPF

SPF(Sender Policy Framework)は、2022年現在、最も利用されているドメイン認証技術です。SPFは、送信元IPアドレスとDNSサーバに公開された送信用メールサーバのIPアドレスが一致しているかを確認することで認証をします。

つまり公式サイト(ドメイン)は、事前にメールサーバのIPアドレスをSPFレコードとして公開(宣言)しておく点が認証のポイントです。

DKIM

DKIM(Domainkeys Identified Mail)は、電子署名をベースとした認証技術です。SPFはIPアドレスベースでしたが、DKIMは電子署名をベースとしている点が異なります。

具体的には、送信時に付与された電子署名を受信側が照合して送信者のドメインを認証する仕組みです。DNSサーバで署名に使う公開鍵を公開しておき、受信側メールサーバはその公開鍵を使ってメールに付与された電子署名を照合します。

また、電子署名で認証すると配信の途中で改ざんが行われていないかも確認可能です。

DMARC

DMARC(Domain-based Message Authentication, Reporting & Conformance)は、SPFやDKIMの認証結果をもとに、メールの配送制御を行うフレームワークです。DMARCでは、認証が失敗した場合に次の3つの受信制御ポリシーをDMARCレコードによって選択できます。

• そのまま受信させる(none)
• 隔離させる(quarantine)
• 受信を拒否する(reject)

なおフィッシング対策協議会の資料によると、フィッシャーはDMARCに対応していない組織を狙っている旨が明らかにされています。

フィッシングを行う側は、ブランド側の対応をよく見ており、DMARC対応ができない組織（ドメイン）を集中的に狙ってくる

[引用:フィッシング対策協議会「フィッシングメール配信の傾向と対策(2021年1月-6月）」より]

2段階認証を設定する

フィッシングサイトでアカウントのログインIDやパスワードなどの認証情報を入力してしまい、アカウント情報を盗み取られる可能性があります。そこで、金融分野を中心に普及が進んでいる2段階認証の設定を検討してみましょう。

2段階認証とは、メールアドレスなどのログインIDとパスワードだけで認証するのではなく、ワンタイムパスワードなどで追加の認証を行う方法です。なお、追加認証で用いられる要素は、次のように多要素化した多要素認証を実現することが重要といえます。

• 本人だけが知っているはずのもの：パスワード
• 本人だけが持っているはずのもの：クレジットカード番号やスマホの固有情報
• 本人自身に関するもの：指紋や虹彩、顔

パスワードは複雑にする・定期的に変更する

パスワードは攻撃の標的にされやすい要素です。そのため、単純なものではなく複雑なパスワードを設定するようにしましょう。

パスワードについては総当たり攻撃(ブルートフォースアタック)や辞書攻撃(ディクショナリアタック)などの攻撃方法がありますが、特に総当たり攻撃を防ぐためには、大文字や小文字、数字、記号などを組み合わせた10桁以上のパスワードが推奨されています。

また、近年は1人が多数のアカウントを持つことが多いため、パスワードを使いまわしてしまうことも少なくないようです。1つのパスワードが流出してしまうと多くのアカウントが乗っ取られてしまうので、パスワードは使いまわさないように注意しておきましょう。

知らない人からのSNS登録申請は安易に許可しない

SNSでは、知らない人からの登録申請を安易に許可しないことが重要です。それだけでなく、知人や友人、ビジネスの関係者であったとしても安易な登録は避けるべきといえます。

SNS上のプロフィールは簡単になりすましが可能で、本当に相手が本人であるか確認することは難しいでしょう。知っている人だと思って安易に個人情報を投稿してしまうと、その情報を悪用される可能性があります。

セキュリティソフトやOSの更新は必ず行う

セキュリティ対策では、セキュリティソフトやOSの更新を行うことが基本です。そのため、自動アップデートの設定を行ったうえで、定期的に最新バージョンを利用しているかチェックするなどの対応をとりましょう。

もっとも、スマホやパソコンを最新の状態に保つだけでは安心しきれません。例えば、セキュリティ上の欠陥(セキュリティホール)があると、攻撃者はマルウェアの開発を進め、Webサイト運営者はセキュリティパッチの開発を進めます。

しかし、一般的には攻撃者のほうが対応が早いため、セキュリティパッチが実行される前に攻撃が開始されてしまうのです。このような攻撃をゼロデイ攻撃といいます。

なりすましメールの具体的な事例と内容

なりすましメールの具体的な事例と内容を紹介します。

1.Amazon

フィッシング対策協議会が公表している2022年5月のフィッシング報告状況によると、フィッシング報告件数は約21.7％がauやau PAYを装うもの、次いでAmazonを装うものが多いという結果となりました。

Amazonを装うなりすましメールとして、具体的には次のような文面が多いようです。

• 支払方法の有効期限が切れているとして、更新を迫る
• 異常なアクティビティが検出されたとして、ログインしてアカウントロックの解除をするよう迫る

これに対してAmazonは、Amazonがメールで個人情報を送るようにお願いすることはないと述べたうえで、なりすましメールの内容ごとにどのような対策や注意をすれば良いかがまとめられています。

メールのリンクは安易に開かず、ブラウザで直接AmazonのWebサイトにログインして確認するなどして対策を取りましょう。

[出典：フィッシング対策協議会「2022/05 フィッシング報告状況」]

[出典：Amazon「AmazonからのEメール、電話、テキストメッセージ、またはウェブページかどうかを見分ける」]

2.メルカリ

フリマアプリを運営するメルカリになりすましたメールも、多数報告されています。メルカリが提供するFAQサイト「メルカリガイド」では、現在確認できている不正手口の一例として次のような手口を紹介しています。

• ポイントやクーポンの配布を装う内容
• 「本人確認の強化を行っている」と対応を促す内容
• 「アカウントの利用が制限されている」「アカウントで異常な活動が検出された」「口座を凍結した」と対応を促す内容
• 「お客さまが登録している電話番号に連絡がつかない」と情報の更新を促す内容
• 「利用規約第5条に基づく本人確認・ご利用状況の確認」と利用規約を装う内容

[引用:メルカリ「身に覚えのないまたは不審なメールが届いた」より]

フィッシングサイト画面の一部も紹介されていますが、偽物と見破るのは困難であるため、メールから直接遷移するのではなく公式アプリからアクセスするようにしましょう。

[引用:メルカリ「メルカリを装った不審なメール・ウェブサイトにご注意ください」より]

3.ドコモ

ドコモも、公式サイト上でドコモを装ったなりすましメールがあるとしてユーザーに注意喚起をしています。そこで紹介されている手口には次のようなものがありました。

• NTTカードやdカードの利用を一時停止したとして偽のdアカウントログイン画面に誘導する
• dアカウントをロックしたとして、「ログインアクティビティ」の確認ボタンを押すよう求められる
• d払いの決済完了メール(レシートメール)を装ってリンクに遷移するよう求められる
• 新元号(令和)に伴う料金改正のお知らせとしてリンクに遷移するよう求められる

なりすましメールのお詫びと注意喚起

Amazonとメルカリ、ドコモを装ったなりすましメールについて簡単に紹介してきました。今回紹介したケースについては、3社ともなりすましメールについてユーザーにお詫びと注意喚起をしています。

実際にユーザーから報告があった後に情報がまとめられることもありますが、もし少しでも不審なメールを受信したら、そのままメールに記載されているURLに遷移するのではなく、ブラウザから直接公式サイトを検索して情報を得るようにすると良いでしょう。

なりすましメールへの対策は正しい知識で被害を回避

近年のなりすましメールは、本物と見分けがつかないほど巧妙に作り上げられていることも少なくありません。なりすましメールによる被害を防止するためには、正しい知識を持って適切に対処することが必要です。

利用者としては不審なメールは開かず公式アプリや公式サイトに直接アクセスすること、組織としては有効な対策と言われているDMARCを活用することなどが求められています。