LdLuS更新日:2023/5/12
詐欺メール防衛戦:詐欺メールの見分け方 初級編
個人的なメールアドレスにせよ、会社で使っているメールアドレスにせよ、どこから嗅ぎつけるのやらいつの間にか不審メールが届くようになるのはもはや日常風景。そしてそれは大企業も中小企業もあまり大きな差異はない。そして、こうした不審メールや詐欺メールと呼ばれるものが、攻撃の入り口となるケースが7割から8割に登ると言われており、決して甘く見てはいけないものとなっている。騙されてしまった時には然るべき対処を素早く行うことが何よりも大事である。
とはいえ、自分が詐欺メールに引っかかったことに気付けないのであれば、当然対処をしようと思い当ることすらないだろう。ここではどのようなタイプの詐欺メールがあって、どういうところを怪しいと考えれば良いのか説明していく。
詐欺メールの種類
まず、一口に詐欺メールと言っても色々種類がある。こういうものあるのかと気付きのための一助にしていただきたい。
| # | 種類 | 概要 | 特徴 |
|---|---|---|---|
| 1 | URL型のフィッシング ※フィッシング(Phishing):個人情報を窃取するタイプの詐欺メール |
URLをクリックさせて悪性サイトに誘導し、個人情報を奪い取ろうとするもの。 ※以下のサイトで最新の情報が紹介されている |
悪性のURLがメールに含まれており、URLを開くことで悪性サイトに誘導される。悪性サイトではログイン画面やクレジットカード情報を入力する画面が表示されることが多い。入力してしまうと、こういった情報が奪われ悪用される可能性が高い。 上記の症状が多いが、悪性ファイルがダウンロードされウイルス感染する可能性もある。 |
| 2 | 添付ファイル型のフィッシング | 添付ファイル(.htmlや.htmファイル)がついており見積書(注文書や請求書のこともある)を確認してくださいというもの。 | 添付ファイルを開くことで、悪性サイトに誘導される。背景にはぼかしのかかったExcelが表示されていることもある。悪性サイトではログイン画面が表示されることが多い。入力してしまうと、こういった情報が奪われ悪用される可能性が高い。 上記の症状が多いが、悪性ファイルがダウンロードされウイルス感染する可能性もある。 |
| 3 | 悪性添付ファイル | 添付ファイル(Excel、Word、zip、exeなど様々)がついており、内容を確認してくださいというもの。最近大規模に流行しているEmotetウイルスはこのタイプ。 | 添付ファイルを開くことで、ウイルスに感染する。ExcelやWordの場合は、マクロを有効にしてしまうことで感染するケースが多い。 |
| 4 | 恐喝メール (セクストーション) |
あなたの端末をハッキングして恥ずかしい動画を撮影したので、バラされたくなければ仮想通貨を支払うよう要求するもの。 | URLや添付ファイルはないものの、メール文面には恐喝の文章とともに仮想通貨のウォレットアドレスが記載されており、恐怖心に付け込んで金銭を騙し取ろうとする。 モノによっては、メールタイトル等に過去使ったことのあるパスワードが記載されているケースも報告されている。そういったパスワードを未だに使っている場合は即時パスワード変更を実施いただきたい。 |
| 5 | ビジネスメール詐欺 | 色々なバリエーションがあり、会社のお偉いさんになりすまして銀行口座への振込を迫るものもあれば、ウイルス対策ソフトの利用料金など覚えのない請求書がいきなり送られてくるものもある。 | メール文面に電話番号が記載されていることもある。メールに返信したり電話したりすると、あれよあれよという間に金銭を騙し取られる可能性が高い。 |
| 6 | ロマンス詐欺 | その名の通り、男女関係から攻めてくるタイプ。婚活等で悩んでいる人は特に注意。最終的には金銭を騙し取られるケースが多いが、人の良心に付け込んだものであるため、それ以上に精神的なダメージが大きい可能性あり。 | SNS等で公開している情報が悪用されたことで、あなたに連絡している可能性がある。公開用アカウントとプライベートで使うアカウントを分けておいた方が、こういった判別に使うこともできる。 |
| 7 | その他のスパムメール | 覚えのない送信元から送られており、単純に宣伝目的のものもあれば、1行程度挨拶が書いてあるだけのもの、本文に何も書かれていないものもある | そのメール自体にはあまり実害はないものの、お使いのメールアドレスが存在し有効なものであるかを確認する意図もありうる。返信してしまうと以降、詐欺メールが増える可能性がある。 |
また、大きな台風や地震など自然災害が起こった際に、義援金を募ると見せかけた詐欺メールが出回ることが多い(上記のどのパターンもありうる)。時局に応じて、騙されないようご注意いただきたい。
その他、メールではないがSMS(電話番号でメッセージできるやつ)を悪用した手口も存在する。このような手口をスミッシングと呼んだりもするが、あまり知名度は高くないようである。
メールの外見で分かる範囲での見分け方
以下のような特徴が多いほど、詐欺メールの可能性が高いといえる。同時に、こういうメールを送ると詐欺メール扱いされてしまい、迷惑メールフォルダ行きになる可能性が高いことにも留意していただきたい。
- 送信元メールアドレスが...
- メールアドレスの最後が「.cn」(Chinaの国ドメイン)になっている
- 受信者のメールアドレスになっている
- Gmailなどのフリーメールが使われている
- @より後ろが何か変
- 単純に知らない人
- メールタイトルや本文が...
- 「24時間以内に」など時間制限を記して焦らせようとする文面になっている
- 日本では使わない漢字があったり、中国風のフォントになっている
- 本文が文字かと思いきや画像になっている
- とてもビジネスメールとは思えない文面
- URLが書いてあるだけ
- 「こんにちは、XXさん」と書いてあるが、メールアドレスから名前を推測しているように見える
- 日本語の文面ではあるが「親愛なるXXさん」のように、いかにも英語の文面をそのまま訳したような内容
詐欺メールに引っかかってしまったと思われる際は、こちらを参考に必要な対処を実施する。
【動画】メール📩の送信元情報って…どこまで信用できるの🤔🤔🤔
前半でIPAさんの安心相談窓口だよりをご紹介させていただき、後半ではThunderbirdを使った送信元詐称の実演を行います。
-
IPA安心相談窓口だより:メールの見かけ上の送信元情報を安易に信じないで!
https://www.ipa.go.jp/security/anshin/mgdayori20210921.html -
IPA安心相談窓口だより:性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意
https://www.ipa.go.jp/security/anshin/mgdayori20181010.html
IPA安心相談窓口だよりの2つ目、恐喝メール(セクストーション)に関する動画中の説明が不十分なので、こちらで補足させていただく。恐喝メールの件名に実際に使ったことのあるパスワードが記載されているケースがある、という件である。これは、メール文面の通りお使いのPCやスマホがハッキングされて漏洩したというよりも、別経路で漏洩した情報が悪用されている可能性が高い、という認識を持っていただければと思う。例えば、過去に会員登録したことのあるWebサイトが攻撃を受けたことであなたのID・パスワードが漏洩し、ダークウェブのマーケットでそういった個人情報が売買され、今回のような恐喝メールに悪用されているケースが挙げられる。
うちの所員がそういった恐喝メールを受信したという話も動画の中で出ているが、この際具体的に示してしまおう。恐喝メールの件名には「poipoi3puipui」と記載されていた。これは、その所員が過去実際に使ったことのあるパスワードであったそうだ。ただ、パスワードの使い回しはせず、どこのサイトでどのパスワードを使っているかしっかり管理できていたため、「農家のおしごとナビ」というサイトで使っていたパスワードであることを特定することができた。インターネットで調べてみると、2018年12月に会員情報の漏えいの可能性に関するご報告とお詫びの記事がそのサイト上で公開されていた。どうやらこちらのサイトが攻撃された際に、このパスワードが漏洩したようだと分かった。ここまで確認できると、原因は自分のPCがハッキングされたからではなさそうだと言えそうである。
これも、パスワードの使い回しをしておらず、どこのサイトでどのパスワードを使っていたか管理できていたから、判断できたことである。やっていなかったら特定することは困難であろうし、パニックになる可能性も高まることと思う。2人に1人はパスワードの使い回しをしているという話も出ている昨今、ぜひパスワードの管理方法の見直しをお願いしたい。
ちなみに、こちらのサイトではお使いのパスワードが漏洩しているかどうかチェックできるが、「poipoi3puipui」で調べてみるとしっかり「漏洩しているよ!」と結果が出たりする。もしパスワードの使い回しをしているようであれば、一度このサイトで漏洩していないか確認してみていただきたい。
また、「農家のおしごとナビ」様の名誉のために付け加えておきたいが、サイバー攻撃に遭った際に上記のようにご報告の記事を掲載することはとても誠実な対応で好感が持てる。また、一度サイバー攻撃に遭うと、その後は運営さんのセキュリティ対策の意識も技術も向上するので、攻撃されたことのあるサイトほど信頼できる側面もあると考える。現在でも元気にサイトを運営されているようなので、農業の求人に興味がある方はぜひご利用いただければと思う。 なお、ハッキング研究所の人がなんで農業のサイトに登録してたの?という純粋な質問については「研究の一環です」とお茶を濁しておく。。。
ところで、なりすましをどのように防御するかについての説明ができていなかったが、こちらは「詐欺メールの見分け方 上級編」で述べるDMARC(ディーマーク)の導入によって、動画で例に挙げたAmazonのなりすましや脅迫メールのようななりすましを防ぐことが可能である。技術的な色合いの強い内容となってしまうが、比較的費用をかけなくても導入しやすい部分のため、なじみのSEさんやベンダーさんに相談してみていただければと思う。
関連ページ
詐欺メール防衛戦一覧
| # | タイトル | 概要 | 主な対象者 |
|---|---|---|---|
| 1 | 詐欺メールの見分け方 初級編 ←イマココ | 不審メールの種類、メールの外見で分かる範囲での見分け方 | 全員 |
| 2 | 詐欺メールの見分け方 中級編 | ドメイン、Google検索、仮想ブラウザによる見分け方 | 中小企業のIT担当者 |
| 3 | 詐欺メールの見分け方 上級編 | メールヘッダー、SPF、DMARCによる見分け方 | SOCやCSIRTのメンバー、メールシステム担当者 |
| 4 | 詐欺メールに引っかかってしまった場合のリカバリ方法 | パスワード変更やカード再発行などの案内 | 全員 |
研究室ご案内
| 名前 | 岩田 和彦 |
|---|---|
| 出身 | 日本国広島県広島市 |
| 職業 | KIHAハッキング研究所 主席研究員 システムエンジニア 艦隊これくしょん提督@柱島泊地 |
| 趣味 | 日本酒 和服 |
| 国内国家資格 | 基本情報技術者 ソフトウェア開発技術者(現・応用情報技術者) 情報セキュリティスペシャリスト(現・情報処理安全確保支援士) |
| 海外資格 | GIAC認定インシデントハンドラー(GCIH) |
