【基本解説】なりすましメールとは？ 仕組み・手口と見分け方・対策について解説

2024年2月、Googleの発表により、悪意のある「なりすましメール」から、ユーザーを守ることを目的として、メール送信者向けにGmailのポリシーが変更されました。

参照元 ： Google Workspace 管理者 ヘルプ　https://support.google.com/a/answer/81126

なりすましメールによる被害は後を絶ちません。一方で、なりすましメール対策の強化が進んでおり、メール送信元はその対応を迫られています。
今回は、どのようにして「なりすましメール」が送信できるのか、その仕組みと受信者と送信者双方の立場での対策方法を解説します。

Gmailアカウントにメルマガや通知メールなどを配信している方には、具体的にどのような対応が必要になるかを解説した資料をご用意しておりますので、ぜひご活用ください。

関連記事

【無料資料プレゼント】大量にメール配信をする企業は要チェック！Gmailポリシー変更

大量にメール配信をする企業は要チェック！ Gmailポリシー変更 本書では、2024年2月にGoogleより発表された、なりすましメール防止のための「Gmailポリシー変更」について解説します。 ※ホワイトペーパー[…]

■「なりすましメール」とは？

なりすましメール（email spoofing）とは、悪意のある第三者が巧妙に偽装された送信者名や送信元メールアドレスを使用して受信者を騙し、不正行為を行う目的で送信された電子メールのことです。
メール本文内のリンクなどから詐欺サイトに誘導し、ログインIDやパスワード、クレジットカード情報などの個人情報を入力させて盗み取ったり、架空の請求をして不正に送金を促したりすることが目的です。

■「なりすましメール」の仕組み

・送信者情報の偽装

なりすましメールでは、受信者を騙すために、メールのヘッダー情報や送信者名、送信元メールアドレス（ドメイン）を銀行や有名な企業など実在の組織や個人に見せかけて偽装されます。
それには以下のようなメールの仕組みを利用します。

メールに書かれている送信元From（ドメイン）は2種類に分かれています。
メールの送信を処理するための主要なプロトコルであるSMTP（Simple Mail Transfer Protocol）は、封筒の差出人に相当する「エンベロープ情報」に従ってメールを送信します。
メール本文にも、便箋の差出人に相当する「ヘッダFrom」が内包されており、一般にメールソフトで表示される差出人は「ヘッダFrom」です。
ただし、「ヘッダFrom」はかんたんに偽装できてしまいます。これにより、受信者がメールを信じて、偽りの情報に騙される可能性が高まります。

■「なりすましメール」の手法

なりすましメールは、様々な手法で送信者の身元を偽装し、受信者を騙すことを試みます。

・フィッシング詐欺

フィッシング詐欺は、悪意のある第三者が有名な企業など実在の組織や個人になりすまして、個人情報や金銭を騙し取ろうとする手法です。メール本文内のリンクから受信者を本物のサイトのように見せかけた偽のログインページや詐欺サイトに誘導したり、添付ファイルを展開させてマルウェア（悪意のあるソフトウェア）を起動させて攻撃することがあります。

・ワンクリック詐欺

ワンクリック詐欺は、電子メール内のリンクをクリックするだけで、不正なWebサイトにリダイレクト（自動的に転送）され、個人情報が盗まれたり、マルウェアがダウンロードされたりします。

・キーロガー

キーロガーは、電子メール内のリンクや添付ファイルを介して、受信者のパソコンやスマートフォンに侵入するマルウェアで、キーボードから入力されたテキストやパスワード、クレジットカード情報などを記録します。これらの情報は、攻撃者に送信され、悪用して不正行為を行う可能性があります。

受信者は常に慎重にメールを確認し、不審な点があれば警戒するようにしましょう。

■「なりすましメール」の見分け方

なりすましメールを見分けるためには、いくつかのポイントを注意深くチェックしましょう。

• 送信元のメールアドレスを確認する
  なりすましメールは、有名な企業など実在の組織や個人のメールアドレスを偽装して送信されます。送信元のメールアドレスが疑わしい場合は、そのメールを信用しないようにしましょう。
• リンクや添付ファイルに注意する
  メール本文内に含まれるリンクや添付ファイルが不審な場合は、クリックしないようにしましょう。
• 求められる情報に注意する
  なりすましメールは、緊急性や恐怖心を煽る脅迫的な内容が含まれることがあります。例えば、「アカウントが無効になったので、すぐにログインしてください」といった虚偽の警告や、「支払期限は〇月〇日です」と架空請求先に誘導するケースなどが挙げられます。
  正規のサービスや企業は、メールで個人情報やパスワードなどの機密情報を求めることはありません。
• 文面や表現を確認する
  なりすましメールは、文法や言い回しが不自然なことがあります。文面を注意深く確認しましょう。
• 直接確認する
  受信メールで疑わしいところがある場合は、公式の連絡先から、直接そのサービスや企業に問い合わせてみましょう。メールの真偽を確認することができます。

これらのポイントに留意して、なりすましメールから身を守りましょう。

■「なりすましメール」の対策

なりすましメールに対して、個人や組織がセキュリティ意識を高め、適切な対策を実施することが必要です。

・受信側で行う対策

• メールフィルタリング
  メールサービスやセキュリティソフトウェアを使用して、不審なメールを自動的にフィルタリングし、悪質なメールを検出しましょう。受信トレイに表示させる前に、ブロックされる可能性が高まります。
• 二段階認証を設定する
  登録しているアカウントに二段階認証を設定することで、仮にパスワードを盗み取られても、ログイン時に追加の認証情報が必要になり、不正アクセスを防止できます。
• 送信元ドメイン認証
  メール送信において、送信元ドメインの認証（SPF、DKIM、DMARC）を行います。
  これらの技術は、送信元メールサーバのIPアドレスや電子署名を利用して、メール送信元のドメインが公式であること（詐称されていないか）を認証するための仕組みです。認証の成否で正規メールの正当性を判断できます。
• セキュリティ意識の向上
  受信者に対して、なりすましメールやフィッシング詐欺のリスクについて定期的に正しい対処方法や警戒すべきポイントの教育を行うことも大切です。リンクや添付ファイルを開く前に、注意深く確認する習慣を養うことで、被害を最小限に抑えることができます。

・送信側で行う対策

• SPF、DKIM、DMARCの設定
  SPF、DKIM、DMARCの設定を行います。送信側ドメインの信頼性を高め、関与しないなりすましメールの送信を防ぐのに役立ちます。
• セキュリティ意識の向上
  送信側企業は、メール送信に関するセキュリティポリシーを策定し、従業員やシステム管理者に遵守させることで、セキュリティに対する意識を高めていくことが重要です。

SPF、DKIM、DMARCの設定を怠り、ドメインの認証が通らなかったメールは、なりすましメールではない場合でも迷惑メールに振り分けられたり、受信を拒否されたりします。
これにより、その送信元のブランドイメージなど信頼性が損なわれる可能性があります。

SPF、DKIM、DMARCの設定について、解説した資料をご用意しておりますので、ぜひご活用ください。

関連記事

【無料資料プレゼント】大量にメール配信をする企業は要チェック！Gmailポリシー変更

大量にメール配信をする企業は要チェック！ Gmailポリシー変更 本書では、2024年2月にGoogleより発表された、なりすましメール防止のための「Gmailポリシー変更」について解説します。 ※ホワイトペーパー[…]

■まとめ

今回は「なりすましメール」の仕組みと、受信者、送信者双方の対策方法を紹介いたしました。

なりすましメールによる手口が巧妙化している一方で、Googleはメール送信者向けにGmailポリシーの変更を発表し、なりすましメール対策の強化が進んでいます。
※米国Yahoo!社も、同様にメール送信元に対して義務付けをすることを発表しています。
Yahoo！：More Secure, Less Spam: Enforcing Email Standards for a Better Experience（英文）
https://blog.postmaster.yahooinc.com/post/730172167494483968/more-secure-less-spam

企業内でメールを利用する際のルールを策定し、従業員に共有してリテラシーを高めることで、「なりすましメール」からの被害を防止しましょう。

弊社ではWeb集客の分析や改善提案など、製造業・建築業に特化したデジタルマーケティングのプロがトータルサポートを行っております。いつでもご相談ください。