なりすましメールとは、悪意ある第三者が企業や団体を騙り送信するメールのことで、金銭や個人情報の不正入手を目的としているケースが一般的です。
しかし、法人をターゲットにした「ビジネスメール詐欺」もあり、個人だけでなく企業も情報漏洩のリスクがあります。
本記事では、なりすましメールについて、以下の内容を解説します。
- なりすましメールの定義と国内の現状
- なりすましメールの目的と仕組み
- なりすましメールの主な5つの手口
- 見分け方や被害を防ぐ7つの対策
事例を交えつつ、なりすましメールの基本から対策まで網羅的にまとめているので、ぜひ最後までお読みください。
\自社のなりすましサイトの検知・フィッシング対策に!/
詳細やお問合せはこちら
目次
なりすましメールとは?定義や国内の現状を解説
なりすましメールは、企業や組織になりすまして個人情報を抜き取ろうとする「フィッシング攻撃」の一つです。
はじめに、なりすましメールの定義と国内の現状を解説します。
なりすましメールの定義
なりすましメールの定義は、「悪意のある第三者が企業や団体の名前を装い送信するメール」です。
なりすましメールの多くは、
- 実在する組織
- 知り合い
- 信頼している人
といった第三者の名前を騙り、受信者に強い感情を与えるメッセージを記載することで、行動を誘導しようとします。
たとえば、有名ショッピングサイトの名前を騙り「あなたのアカウントが閉鎖されます」とユーザーにメールを送信します。
【実際に送られた詐欺メール】
※引用:一般財団法人 日本データ通信協会
受信したユーザーの中には公式サイトからのメールであると誤認し、あわてて状態を確認しようとする人もいるものです。
メールに記載された偽のURLへアクセスすることで、個人情報を入力させます。
なりすましメールの送信者は、クレジットカード情報が記載されている可能性があるアカウントへアクセスできるようになります。これが、なりすましメールのからくりです。
下記の記事では、なりすましする側の目的や心理などを解説していますので、気になる方はチェックしてみてください。
なりすましメールの現状
なりすましメールは、フィッシング詐欺の一種です。
フィッシング対策協議会が発表した最新の報告によると、なりすましメールを含む「フィシング報告件数」は毎月数万件にも及びます。
※引用:フィッシング対策協議会
「フィッシング報告件数」を分野別で見てみると、「金融系」「EC系」「クレジット・信販系」で特に多いことがわかりました。
| 分野 | 割合 |
|---|---|
| 金融系 | 約29.1% |
| EC系 | 約26.5% |
| クレジット・信販系 | 約23.9% |
| 交通系 | 約7.7% |
| オンラインサービス系 | 約5.5% |
また、フィッシング対策協議会によると「フィッシング報告件数」全体の約22.1%がAmazonを騙る手口です。
たとえば「支払い方法を更新してください」といった題名でAmazonからメールが届き、個人情報の入力を促してくることがあります。
※引用:一般財団法人 日本データ通信協会
他にも、クレジットカードの利用停止連絡や契約した覚えのないサービスから、メールが届くケースもあります。
なりすまし(フィッシング詐欺)は、なぜこんなにも件数が多いのでしょうか。その理由として、次のようなものが挙げられます。
【なりすましが多い理由】
※参考:フィッシング対策協議会 |
なりすましメールの仕組み。不正者が正規のドメインで送信できる理由
なりすましメールが後を絶たない理由の一つとして、不正者がEメールの特性を悪用していることが挙げられます。
まず、Eメールの特性を知るために構成をみてみると、次の3つから成り立っていることがわかります。
- エンベロープ
- ヘッダー
- Eメール本文
次に、この構成を手紙に例えて考えてみましょう。
- エンベロープ……封筒。宛先や差出人が書いてある
- ヘッダー……手紙。手紙の中に書かれた差出人・宛先・日付など
- Eメール本文……手紙の本文
さらに、 図に表すと下記のようになります。
上の図からもわかるように、エンベロープは自由に設定できるうえ、ヘッダーと差出人が異なる場合でもメールは相手に届いてしまいます。
受信者は、ヘッダーに書かれた相手の名前(偽装された部分)が目に入るため、本物だと思ってしまうという仕組みです。
たとえば、下記の図はなりすましメールの表示例ですが、ヘッダーの「差出人」のドメインが正規と同じであるため、受け取った側は偽物だと判断がつきません。
※引用:フィッシング対策協議会
このように、不正者が正規のドメインでなりすましメールを送信できてしまうため、本物のメールだと勘違いした受信者による被害が続出しているのです。
なりすましメールのリスクとは?主に4つの目的がある
なりすましメールの被害に遭うとどうなるのでしょうか?
そのリスクを把握するためにも、「なぜ悪用者がなりすましメールを送るのか」の目的を確認してみましょう。
悪用者がなりすましメールを送る目的は、大きく次の4つです。
- 個人情報を盗むため
- アカウント情報を盗むため
- クレジットカード情報を盗むため
- 企業情報を盗むため
【目的1】個人情報を盗むため
なりすましメールを送る目的の1つ目は、ターゲットの個人情報を盗むためです。
「個人情報」とは、主に下記のようなものを指します。
- 名前
- 住所
- 生年月日
- 電話番号
- メールアドレス
ターゲットの名前を使って行動するなど、盗まれた個人情報が不正利用の材料にされてしまう危険性があります。
【目的2】アカウント情報を盗むため
目的の2つ目は、アカウント情報を盗むためです。
アカウント情報とは、ネットショップやネットバンクを利用する際に本人確認として入力する情報のことです。
具体的には、
- アカウントID
- パスワード
といった情報を盗み、被害者のアカウントを乗っ取って不正に利用する手口などがみられます。
【目的3】クレジットカード情報を盗むため
不正者は、クレジットカード情報を盗むことを目的になりすましメールを送信することもあります。
クレジットカード情報とは、主に下記のような情報のことです。
- クレジットカード番号
- 有効期限
- セキュリティコード
ここ数年で日本のキャッシュレス化は急速に進み、クレジットカードの利用者数も右肩上がりで伸びています。
しかし、クレジットカードの需要に比例するように、クレジットカード不正利用による被害も拡大しているのが現状です。
一般社団法人クレジット協会の発表によると、2022年の「クレジットカード不正利用被害額」は過去最多の436億円でした。
※引用:「一般社団法人日本クレジット協会」
もしクレジットカード情報を盗まれてしまうと、多額の不正利用被害が発生するリスクがあるため注意しなければなりません。
最新のクレジットカード不正利用の現状や対策に関しては、下記の記事で詳しく解説していますのでご一読ください。
【目的4】企業情報を盗むため
なりすましメールの目的の4つ目は、企業情報を盗むためです。
企業情報とは主に下記のようなものを指します。
- 顧客、社員などの個人情報
- 営業機密に関する情報
- 製造技術に関する情報
不正者は、上司や関係者になりすまして企業情報を盗み、ダークウェブで売買したり企業を脅迫したりするのに利用します。
ダークウェブとは、通常のインターネット(表層Web)ではアクセスできない、匿名のネットワークのことです。
ダークウェブについてさらに詳しく知りたい方は、下記の記事をご覧ください。
なりすましメールの主な5つの手口を事例とともに紹介
なりすましメールを利用した詐欺はどのようなものか、事例を交えながら5つ紹介していきます。
- フィッシング詐欺
- ワンクリック詐欺
- キーロガー
- Emotet(エモテット)
- ビジネスメール詐欺(BEC)
各手口について、詳しく見てみましょう。
【手口1】フィッシング詐欺
なりすましメールの手口の中で代表的なのが、「フィッシング詐欺」です。
フィッシング詐欺とは、名前の通りなりすましメールを餌として偽造したサイトにユーザーを誘導し、個人情報や企業の情報などを盗み取る詐欺です。
フィッシング詐欺を1つ紹介すると、「えきねっと」の事例が挙げられます。
不正者は、えきねっと(JR東日本)を装って「アカウントの自動退会処理」というタイトルのメールを送付し、受信者に偽サイトへのリンクをクリックさせようとしました。
▲実際に発生した「えきねっと」を騙る偽メール
※引用:えきねっと
公式からのメールに見えますが、実はこれが個人情報やログイン情報を狙うフィッシングメールです。
このように、不正者は
- ECサイト運営者
- 宅配業者
- 公共機関
- 金融機関
などを装って、偽サイトへと誘導するなりすましメールを送りつけてくるのです。
なお、「えきねっと」のフィッシング詐欺メールの概要や見分け方については、以下の記事で詳しく解説していますのでご覧ください。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
【手口2】ワンクリック詐欺
ワンクリック詐欺とは、なりすましメールの中にあるリンクをクリックさせて架空請求のページに誘導させる手法です。
国民生活センターの公式サイトでは、ワンクリック詐欺に関する以下の事例が紹介されています。
「無料だと思って『18歳以上』をクリックしたら、いきなり会員登録となり料金請求画面になった」、「料金請求画面がパソコン画面上に張り付き消えない」など、アダルト情報サイトに関する相談が寄せられています。
※引用:独立行政法人 国民生活センター
このほかにも、ページを複数回にわたり表示させ、まるで被害者が自らの意思で、契約したかのように思わせる手法もあります。
ワンクリック詐欺は、ユーザーの不安につけこむ手法です。
間違ってリンクをクリックして請求されてもすぐに支払わず、冷静になることが重要です。
【手口3】キーロガー
キーロガーとは、ユーザーが入力したキーボードの操作からパスワードや個人情報などの機密情報を盗む手法です。
キーロガーには「ソフトウェア型」と「ハードウェア型」があり、次の例のようにソフトウェア型はなりすましメール経由で感染してしまうケースがあります。
【なりすましメール経由でキーロガーに感染する例】
|
キーボードの操作情報が盗まれてパスワードや暗証番号が流出すると、社外秘の企業データや顧客情報などが盗まれてしまいかねません。
また警視庁が紹介している事例を見ると、キーロガーは企業だけでなく、不特定多数が利用するネットカフェにも仕込まれ、情報を窃盗するケースも発生しています。
<事例>
ネットカフェのアルバイト店員が、客用のコンピュータに仕掛けておいたキーロガーにより、客が入力したインターネットバンキングに係るID・パスワードを不正に入手し、インターネットバンキングに不正アクセスして客の口座から自らが管理する電子マネーカードに不正にチャージした。
(不正アクセス禁止法違反、電子計算機使用詐欺)
引用:警視庁
【手口4】Emotet(エモテット)
Emotet(エモテット)とは近年、世界中で流行しているコンピュータウイルスです。
マルウェアの一種で、感染力・拡散力が非常に強いことが特徴です。
日本においては、2022年2月より被害件数が急増しており、IPA(情報処理推進機構)からも注意が促されています。
Emotetは、ショートカットファイルもしくはパスワード付のファイルをユーザーにメールで送りつける手法が多いです。
添付されたファイルを開いてしまうと「Emotet」に感染します。
「Emotet」に感染すると情報が流出するだけではなく、取引先とのやりとりを引用して偽のメール文章を送り、知らぬ間に自分が感染源となってしまいかねません。
「Emotet」は、ExcelやWord、画像の中に仕込む手口も確認されています。
取引先から違和感のあるメールが届いたら安易に開かないようにしましょう。
不審なメールを開かないことで、感染リスクを抑えることができます。
【最近の事例】
|
※引用:独立行政法人情報処理推進機構
【手口5】ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC)は、社内外の強い決定権を持つ者になりすまし、企業情報を盗む詐欺のことです。
たとえば、自社の経営層や取引先の担当者・弁護士などビジネス上の関係者になりすまし、業務上実在するメールを装って機密情報などを引き出そうとします。
※参考:独立行政法人情報処理推進機構
【最近の事例】
|
※引用:独立行政法人情報処理推進機構
なりすましメールの見分け方・被害を防ぐ7つの対策
なりすましメールの手口がわかっても、どのような対策をすればいいかわからない。このような方に向けて、なりすましメールの見分け方や対処法を7つ紹介していきます。
- 送信元が正しいか確認する
- 同封されたリンクやファイルを安易に開かない
- 携帯電話の迷惑メールフィルター機能を使う
- 携帯電話のOSを常に最新にアップデートしておく
- 二段階認証を設定する
- パスワードを複雑にする
- システムやツールを活用して対策する
【対策1】送信元が正しいか確認する
なりすましメールの一般的な対策として、送信元が正しいか確認することが挙げられます。
取引先からの請求書など重要な連絡である場合、メールアドレスやURL、メールタイトルに少しでも不審な点がないか確認をとりましょう。
Amazonを例にすると「Amazon.co.jp」のURLが「Anazon.co.jp」になって届いた事例もあります。
URLに違和感がある場合、リンクのクリックは避けることをおすすめします。
URLに限らず、本文の日本語が不自然といった場合も要注意です。
不自然なURLや本文が記載されている場合は、なりすましメールを疑ってみることをおすすめします。
不正者からのメールの見分け方に関しては、下記記事でも詳しく解説していますのでご一読ください。
【対策2】同封されたリンクやファイルを安易に開かない
届いたメールに同封されたリンクやファイルを安易に開かないことも、なりすましメールの対策方法として挙げられます。
たとえセキュリティが充実しているオフィス内で仕事をしていても、メールに添付されてくるファイルやリンクを開く際は細心の注意が必要です。
なりすましメールと気付かずに安易にリンクやファイルをクリックしてしまうと、機密情報が抜き取られてしまうリスクがあります。
このようなリスクを避けるためにも、次の方法を取り入れて「正規のサイト・アプリのみ利用する習慣を付ける」のがおすすめです。
▼おすすめの方法
- よく使うサイトはお気に入り登録をしておき、問い合わせや個人情報の更新などは公式サイトからおこなう
- スマホアプリをダウンロードする際は正規の提供元からダウンロードする
- 利用者・事業者両方の被害例や対策が載っているフィッシング対策ガイドラインなどのHPを見て手口を知る
下記の記事では、なりすましサイトの見分け方や対処法について個人・企業の両方の視点から解説しています。ぜひご覧ください。
【対策3】携帯電話の迷惑メールフィルター機能を使う
なりすましメール対策として、携帯電話の迷惑メールフィルター機能も有効です。
迷惑メールフィルター機能を有効にすることで、怪しいメールを自動でブロックしてくれるため、ユーザーが誤って開いてしまうリスクを低減できます。
ただし、なりすましメール設定をすると、本来なら届いて欲しいメールも「なりすまし」と判別されてしまう可能性もある点は事前に理解しておきましょう。
携帯電話の場合、契約している携帯電話会社ごとに迷惑メールフィルター機能を解除する手順が異なります。
下記のサイトから公式サイトやフィルターの内容が確認できるので、ぜひご活用ください。
※参考:一般財団法人 日本データ通信協会
なお、「迷惑メール」と呼ばれるものは、なりすましメールだけではありません。下記の記事では、注意すべき迷惑メールの種類や見分け方などを解説していますのでご一読ください。
【対策4】携帯電話のOSを常に最新にアップデートしておく
PCや携帯電話のアップデートには、最新のセキュリティパッチを自動で適用する機能が備えられていることが多いです。
悪意のある第三者は、常に隙を狙い、セキュリティ上の脆弱な箇所を攻撃してきます。
そのため、普段使用するデバイスを最新のバージョン(=最新のセキュリティ)に更新しておくことが重要です。
【対策5】二段階認証を設定する
なりますしメール対策として、二段階認証は非常に有効です。
二段階認証は、銀行やキャッシュレス決済に導入されているセキュリティシステムです。
万が一パスワードを盗まれても、二段階認証の設定をしていると追加の認証が必要になるため、不正アクセスの防止に繋がります。
通常のパスワードに加え、2回目のパスワードには入力期限もあることから、簡単にアクセスできない仕組みです。
なりすましメールに効果がある対処法なので、セキュリティを強固にしたい場合はぜひ設定をおすすめします。
【対策6】パスワードを複雑にする
二段階認証に加えて、設定しているパスワードを複雑にするのも効果があります。
誕生日や名前といったシンプルで予測しやすいパスワードだと、すぐに見破られてしまいかねません。
一方で、大文字と小文字、数字や記号などをパスワードに含めると見破られにくくなります。
また、パスワードは他のサービスと使いまわさないようにしたり、プライベートと仕事用で使い分けたりすることも大切です。
【対策7】システムやツールを活用して対策する
なりすましメールは、手口が年々巧妙化しています。目視や個人の感覚に任せるだけでなく、システムやツールを活用するのもおすすめです。
URLやファイルを確認して対策することを紹介しましたが、目視では限界な部分もあります。企業でどれだけ注意喚起や教育をしていても、完全に防ぐことは難しいのが現状です。
そこで、なりすましメール対策をより強化するなら、最新ツールの導入がおすすめです。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
独立行政法人国民生活センターでは、ウェブフィルタリング・セキュリティソフトの使用を推奨しています。
このソフトは、万が一、メールのリンクをタップ(クリック)してしまった場合でも、詐欺サイトなどの不正サイトへのアクセスや、不正ソフト(アプリ)をインストールしてしまうリスクを低減できます。
ここまで、なりすましメールの見分け方・被害を防ぐ7つの対策を紹介しました。
【なりすましメールの見分け方・被害を防ぐ7つの対策】
|
なりすましメールの被害に遭ってから後悔しないためにも、できる対策から始めてみてください。
なりすましメールに引っかかった場合の6つの対処法
もし、なりすましメールに引っかかってしまったら、慌てずに次のような手順で対処しましょう。
- 金融機関への連絡
- 国民生活センターや警察へ通報
- 救済法を利用
- 返金手続き
- 会員登録の削除
- IDやパスワードの変更
振込手続きをしてしまった場合は銀行へ、クレジットカードで決済をしてしまった場合はカード会社へ速やかに連絡し、取引をストップさせる必要があります。
あわせて、国民生活センターや警察へも忘れずに通報しましょう。
救済法に基づいて警察や金融庁から銀行に連絡が入り、対象口座が凍結されて返金手続きできる可能性があります。
都道府県別の「フィッシング報告専用窓口」は下記のリンク先から確認できますので、クリックしてご覧ください。
※参考:警察庁
また、なりすましサイトに入力したIDやパスワードと同じものを使っているサイトがある場合は、被害を最小限に抑えるためにも対象サイトのIDやパスワードを忘れずに変更することが大切です。
【企業向け】事業者様が受ける被害例と対策
自社の従業員がなりすましメールの被害に遭い、不正者が企業の重要なデータにアクセスすると、事業者様には次のような被害が発生するリスクがあります。
【事業者様が影響を受ける被害例】
|
このような被害に遭わないために事業者様にできる対策として、主に次の4つが挙げられます。
- 送信ドメイン認証技術の導入
- 正規メールを視認しやすくする対策
- ドメイン登録の監視
- 不正アクセス検知サービスの導入
送信ドメイン認証技術とは、メール送信者情報のドメインが正しいものかどうかを検証できる技術のことです。
自社のドメインの悪用を防止する観点から、DMARC(ディーマーク)などの『送信ドメイン認証技術』を導入することが警察庁からも推奨されています。
DMARCを導入すると、なりすましメールを迷惑メールフォルダに分類することや受信者まで到達させないようにすることが可能です。
※参考:警察庁・一般財団法人日本データ通信協会
下記の記事では、DMARCの仕組みやメリット・デメリットを解説していますので、なりすましメール対策を強化したい方はぜひご覧ください。
まとめ
ここまで、なりすましメールの仕組みから対策まで詳しく説明してきました。
悪意のある者は、下記のような目的でなりすましメールを送付し、巧妙な手口で攻撃を仕掛けてきます。
【なりすましメールの目的】
|
また、なりすましメールに対しては、個人だけでなく事業者様にも下記のような対策が求められます。
▼事業者様の被害を防ぐ対策
- DMARCなどの『送信ドメイン認証技術』を導入する
- 正規メールを視認しやすくし、ユーザーに周知する
- ドメイン登録を監視する
- 不正アクセス検知サービスを導入する
まだ本格的な対策に取り組めていない事業者様は、まずインターネットセキュリティに対する知識を深めることから始めてみてはいかがでしょうか。
当サイトでは、インターネットセキュリティに関して漫画形式でわかりやすく解説した資料を無料配布しています。
なりすましメールから顧客・自社を守りたい事業者様は、下記のバナーをクリックのうえお気軽に資料をダウンロードしてください。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
