「なりすましメールとはなんなのか知りたい」
「どのような見分け方や対策方法があるのだろうか」
このような悩みを抱えている方もいるのではないでしょうか。
なりすましメールとは、悪意ある第三者が企業や団体を騙り送信するメールのことです。金銭や個人情報の不正入手を目的としているケースが一般的です。しかし法人をターゲットにした「ビジネスメール詐欺」もあり、個人だけでなく企業も情報漏洩のリスクがあります。
なりすましメール対策を取らない企業は、顧客情報の漏洩や詐欺による金銭トラブルのリスクがあります。情報漏洩が発生すると、取引先からの信頼を失う恐れがあるものです。また、お金をだまし取られてしまうと、取り返せる保証はありません。
本記事では、なりすましメールについて、以下の内容を解説します。
- なりすましメールの定義と現状
- なりすましメールの4つの手口
- 見分け方や6つの対処法
なりすましメールについて詳しく知りたい方は、ぜひ最後までお読みください。
なお「なりすましメールなど、不正行為の現状を知りたい」という方に向けて、クレジットカードの不正利用の現状をまとめた、お役立ち資料をご用意しました。
資料は以下から、無料でダウンロードできます。気になる方は、ぜひチェックしてください。
\クレジットカード不正の傾向がわかる!/
目次
なりすましメールの定義や仕組み、現状
なりすましメールは、スパムやフィッシング攻撃で主に用いられる手法です。メールを受け取ったユーザーは、記載されているリンクをクリックして以下のような個人情報を記入することで、情報を抜き取られます。
- 企業や個人の情報
- 銀行口座の情報やクレジットカード番号
- 電話番号や住所
個人の大切な情報を盗まれることで、企業の資金が不正に送金されてしまうことや、不正注文が発生するなどトラブル発生が懸念されます。
なりすましメールの定義・仕組み
なりすましメールとは、企業や組織になりすまして個人情報を抜き取ろうとする、不正行為の1つです。定義は「悪意のある第三者が、企業や団体の名前を装い送信するメール」とされています。
なりすましメールは第三者の名前を騙り、受信者に強い感情を与えるメッセージを記載することで、行動を誘導しようとします。
たとえば有名ショッピングサイトの名前を語り、「あなたのアカウントがロックされました」とユーザーにメールを送信します。受信したユーザーの中には公式サイトからのメールであると誤認し、あわてて状態を確認しようとする人もいるものです。
メールに記載された偽のURLへアクセスすることで、個人情報を入力させます。なりすましメールの送信者は、クレジットカード情報が記載されている可能性があるアカウントへアクセスできるようになります。これが、なりすましメールのからくりです。
なりすましメールの現状
なりすましメールを利用したフィッシング報告件数(海外含む)は、2022年3月の1ヶ月間だけで82,380件と激増しています。
引用:2022/03 フィッシング報告状況|フィッシング対策協議会
また、なりすましに悪用されたブランド件数も増加傾向です。
引用:2022/03 フィッシング報告状況|フィッシング対策協議会
フィッシング対策協議会によると、なりすましメールの報告数全体の約21.5%がAmazonを語るメールです。
たとえば「お客様のお支払い方法が承認されません」といった題名でAmazonからメールが届き、支払い方法の更新をするよう促してくることがあります。
他にも、クレジットカードの利用停止連絡や契約した覚えのないサービスから、メールが届くケースもあります。
身に覚えのないメールやこちらを動揺させるようなメールが届いた場合は、焦らずに対処することが大切です。メール内に記載されているURLを踏むのでは、原則NGです。検索やブックマークから公式サイトにアクセスし、状況を確かめましょう。
なりすましメールの主な手口・事例4つ
なりすましメールを利用した詐欺はどのようなものか、事例を交えながら4つ紹介していきます。
- フィッシング詐欺
- ワンクリック詐欺
- キーロガー
- Emotetによるなりすましメール
各手口について、詳しく見てみましょう。
【手口1】フィッシング詐欺
なりすましメールの手口の中で代表的なのが「フィッシング詐欺」です。フィッシング詐欺とは、名前の通りなりすましメールを餌として偽造したサイトにユーザーを誘導し、個人情報や企業の情報などを盗み取ります。
フィッシング詐欺を1つ紹介すると、「えきねっと」の事例が挙げられます。えきねっとから「アカウントの自動退会処理」というタイトルのメールが届いた経験を持っている方もいるのではないでしょうか。
公式からのメールに見えますが、実はこれが個人情報やログイン情報を狙うフィッシングメールです。「えきねっと」のフィッシング詐欺メールの概要や見分け方について詳しくは、以下の記事で解説していますので、ぜひ合わせてご覧ください。
【手口2】ワンクリック詐欺
ワンクリック詐欺とは、なりすましメールのあるリンクをクリックさせて架空請求のページに誘導させる手法です。国民生活センターによると、ワンクリック詐欺について以下のような事例が紹介されています。
「無料だと思って『18歳以上』をクリックしたら、いきなり会員登録となり料金請求画面になった」、「料金請求画面がパソコン画面上に張り付き消えない」など、アダルト情報サイトに関する相談が寄せられています。
このほかにも、ページを複数回にわたり表示させ、まるで被害者が自らの意思で、契約したかのように思わせる手法もあります。
ワンクリック詐欺はユーザーの不安につけこむ手法です。間違ってリンクをクリックして請求されてもすぐに支払わず、冷静になることが重要です。
【手口3】キーロガー
キーロガーとは、ユーザーが入力したキーボードの操作からパスワードや個人情報などの機密情報を盗む手法です。
なりすましメールに含まれた特殊なソフトウェアが知らない間にインストールされ、キーボードの操作情報を盗みパスワードや暗証番号が流出。社外秘の企業データや顧客情報などが盗まれてしまいかねません。
また警視庁が紹介している事例を見ると、キーロガーは企業だけでなく、不特定多数が利用するネットカフェにも仕込まれ、情報を窃盗するケースも発生しています。
<事例>
ネットカフェのアルバイト店員が、客用のコンピュータに仕掛けておいたキーロガーにより、客が入力したインターネットバンキングに係るID・パスワードを不正に入手し、インターネットバンキングに不正アクセスして客の口座から自らが管理する電子マネーカードに不正にチャージした。
(不正アクセス禁止法違反、電子計算機使用詐欺)
引用:警視庁
【手口4】Emotetによるなりすましメール
Emotet(エモテット)とは近年、世界中で流行しているコンピュータウイルスです。
日本においては、2022年2月より被害件数が急増しており、IPA(情報処理推進機構)からも注意が促されています。
Emotetの手法は、ショートカットファイルもしくはパスワード付のファイルをユーザーにメールで送りつける手法が多いです。添付されたファイルを開いてしまうと「Emotet」に感染します。
「Emotet」に感染することで、情報の流出だけでなく取引先とのやりとりを引用して偽のメール文章を送り、知らずに自分が感染源となってしまいかねません。
「Emotet」の中には、ExcelやWord、画像の中に仕込む手口も確認されています。取引先から違和感のあるメールが届いたら安易に開かないようにしましょう。不審なメールを開かないことで、感染リスクを抑えることができます。
届出者(企業)において、Emotet への感染を狙ったとみられる不正なメールが 100 件以上届いていることを検知した。組織内においては、感染などの被害は確認されていない。
なりすましメールの見分け方や対処法6つ
なりすましメールの手口がわかっても、どのような対策をすればいいかわからない。このような方に向けて、なりすましメールの見分け方や対処法を5つ紹介していきます。
- 送信元が正しいか確認する
- 同封されたリンクやファイルを安易に開かない
- 携帯電話の迷惑メールフィルター機能を使う
- 二段階認証を設定
- パスワードを複雑にする
- システムやツールを活用して対策する
各見分け方について、詳しく見てみましょう。
【対処法1】送信元が正しいか確認する
なりすましメールの一般的な対策として、送信元が正しいか確認することが挙げられます。
取引先からの請求書など重要な連絡である場合、メールアドレスやURL、メールタイトルに少しでも不審な点がないか確認をとりましょう。
Amazonを例にすると「Amazon.co.jp」のURLが「Anazon.co.jp」になって届いた事例もあります。
URLに違和感がある場合、リンクのクリックは避けることをおすすめします。URLに限らず、本文の日本語が不自然といった場合も要注意です。不自然なURLや本文が記載されている場合は、なりすましメールを疑ってみることをおすすめします。
【対処法2】同封されたリンクやファイルを安易に開かない
届いたメールに同封されたリンクやファイルを安易に開かないことも、なりすましメールの対策方法として挙げられます。
たとえセキュリティが充実しているオフィス内で仕事をしていても、メールに添付されてくるファイルやリンクは細心の注意が必要です。なりすましメールの手口は巧妙です。ドメインの情報を書き換えるだけで、簡単に企業や個人を偽りメールを送信できます。
なりすましメールと気付かずに安易にリンクやファイルをクリックしてしまうと、機密情報が抜き取られてしまうリスクがあります。疑わしいメールが届いた時は、安易に添付ファイルやリンクを開かないよう心がけましょう。
【対処法3】携帯電話の迷惑メールフィルター機能を使う
なりすましメール対策として、携帯電話の迷惑メールフィルター機能も有効です。迷惑メールフィルター機能を有効にすることで、怪しいメールを自動でブロックしてくれるため、ユーザーが誤って開いてしまうリスクを低減できます。
ただしなりすましメール設定をすると、本来なら届いて欲しいメールも「なりすまし」と判別されてしまう可能性もあります。
携帯電話の場合、契約している携帯電話会社ごとに迷惑メールフィルター機能を解除する手順が異なります。公式サイトを確認しながら作業を行いましょう。
【対処法4】 二段階認証を設定
なりますしメール対策として、二段階認証は非常に有効です。
二段階認証は、銀行やキャッシュレス決済に導入されているセキュリティシステムです。万が一パスワードを盗まれても、二段階認証の設定をしていると追加の認証が必要になるため、不正アクセスの防止に繋がります。
通常のパスワードに加え、2回目のパスワードには入力期限もあることから、簡単にアクセスできない仕組みです。なりすましメールに効果がある対処法なので、セキュリティを強固にしたい場合はぜひ導入をおすすめします。
【対処法5】パスワードを複雑にする
二段階認証に加えて、設定しているパスワードを複雑にするのも効果があります。
パスワードが誕生日や名前といったシンプルで予測しやすいものでは、すぐに見破られまいかねません。大文字と小文字、数字や記号などをパスワードに含めると見破られにくくなります。
またパスワードは他のサービスと使いまわさないようしたり、プライベートと仕事用でパスワードを使い分けることも大切です。
【対処法6】システムやツールを活用して対策する
なりすましメールも年々、手口が巧妙化しています。目視や個人の感覚に任せるだけでなく、システムやツールを活用するのもおすすめです。
URLやファイルを確認して対策することを紹介しましたが、目視では限界な部分もあります。企業でどれだけ注意喚起や教育をしていても完全に防ぐことは難しいです。なりすましメール対策をより強化するなら、最新ツールの導入を検討してみませんか。
ここまで、なりすましメールの見分け方や対処法を紹介しました。目視やシステムを活用すれば、なりすましメールによる被害を防ぎやすくなります。
企業側は「なりすましメールによって不正入手したクレジットカードの情報」を利用された場合の対策について検討する必要があります。たとえば不正利用されたクレジットカードをECサイトで利用された場合、以下のリスクが発生する恐れがあります。
- 商品は出荷されており、返品も期待できない
- ほとんどの場合、不正利用された金額は事業者側が負担する義務がある(チャージバックの発生)
よって「なりすましメール」そのものを防ぐことと同時に「なりすましメールによって不正入手されたクレジットカードを使用させない」「アカウントへのなりすましログインを許さない」ための仕組みが必要です。
そこでおすすめなのが、不正検知システム「O-MOTION」です。どのようなサービスか、詳しく解説します。
なりすましによる不正アクセス対策なら「O-MOTION」
「O-MOTION」は金融機関の不正対策から生まれた、会員サイト向けクラウドサービスです。
悪意のある第三者からの不正アクセスをリアルタイムで検知。怪しいアクセスが発生した場合は管理者へ通知メールを自動送信します。また明らかに不正なアクセスであれば、自動でブロックします。
「O-MOTION」の導入方法の1つに、JavaScriptタグを自社のWebサイトに導入する方法が挙げられます。タグを設置するだけで、後はシステムが不正アクセスを感知したら、審査結果の確認画面と共にメールで通知します。
EC事業者など企業側がO-MOTIONを導入すれば、たとえ不正アクセスを行う側がIDとパスワードを悪用しても、不正なログインとしてブロック可能です。クレジットカードの不正利用を防ぎ、チャージバックの発生防止にも貢献します。
「O-MOTION」の資料は以下のボタンからダウンロードできます。気になった方は、ぜひチェックしてください。
不正アクセスレポートを作成して、リスク確認も可能!
今なら期間限定の初期費用キャンペーン中
初期費用150万が10万に!
O-MOTIONのトライアルはこちら!
まとめ:企業側はなりすまし対策が求められている
ここまで、なりすましメールの狙いや手口について詳しく説明してきました。今回、ご説明した内容の要点は以下です。
- なりすましメールは年々、手口が巧妙になっている
- メールが届いても安易にリンクや添付ファイルはクリックしない
- 目視での確認は限界があるので、セキュリティ対策は必ず行う
なりすましメールを利用したフィッシング報告件数は増加傾向にあります。少しでも違和感を覚えるメールであれば、添付ファイルやリンクを開かないことが大切です。
なりすましメールによって不正取得されたIDやパスワードは、アカウントへの不正アクセスに利用されてしまいます。また不正取得されたクレジットカードで買い物をされると、EC事業者はチャージバックが発生するリスクがあります。
なりすましによるアカウントへの不正アクセスやクレジットカードの不正利用を防ぐことは、企業側にとって重要です。不正アクセスによるチャージバックを防ぎたい方は、本記事で紹介した「O-MOTION」の活用を検討してみませんか。
初期費用150万が10万円になるトライアルキャンペーン受付中!
O-MOTIONの資料DLはこちら
