急増中？なりすましメールは対策必須！例から⾒分け⽅まで解説

実在するメールアドレスに偽装したり、個⼈や企業の名前を装った「なりすましメール」。フィッシング対策協議会の月次報告では毎月新しいなりすましメールが報告されており、2022年7月の月次報告ではDMMや日本郵便、えきねっと、PayPay銀行といった有名企業を装った事例があげられています。

（参考：2022/07 フィッシング報告状況|フィッシング対策協議会）

なりすましメールの送信元を信頼し、指示に従って手続きを行ってしまうと、ウイルスに感染したり、個人情報や金銭をだまし取られたりといった被害を受けてしまいます。一見して心当たりのある内容でも、無条件に送信者を信じるのは大きなリスクだと言えます。

この記事では、なりすましメールの事例や見分け方などの対策について解説します。

なりすましメールとは

日本データ通信協会の迷惑メール相談センターが作成している「迷惑メール白書2021」によれば、なりすましメールとは、迷惑メールの一種で送信者情報や経路情報（メールが配送されてきた道筋を示す情報）が偽装されているものとされています。

（参考：迷惑メール白書　2021年度版｜日本データ通信協会の迷惑メール相談センター）

その目的は下記の通りです。

• フィッシングサイト（詐欺サイト）へ誘導して金銭や個人情報をだまし取る
• 受信者をマルウェアに感染させ企業情報を抜き取る
• 取引業者を装って誤った入金先に振り込みをさせる
• 上司や関係者を装って情報を抜き取る

2022年7月にフィッシング対策協議会に寄せられた報告件数（海外を含む）は107,948件で、1ヶ月ごとに見てもほとんど右肩上がりの状況です。

なりすましメールの⼿⼝

なりすましメールはあの手この手でメールを開封させ、何らかのアクションを促します。その手口は無数にありますが、大きく下記の3つに分けられます。

フィッシングメール

フィッシングメールとは、クレジットカード会社やECサイトなどの名前を偽装し、「お知らせ」などのタイトルで送信されてきます。「アカウントが凍結された」「アカウント内容を更新してほしい」といった内容から、メール内のリンクへとアクセスを促し、偽サイトでクレジットカード番号やパスワードを詐取します。

下記は、2022年7月に発生した「DMM.com」を装ったフィッシングメールの文面です。本物のメールとそっくりなので、内容と記載されているURLの確認が必須です。

ビジネスメールへのなりすまし

世界中で拡大しているなりすましメールの手口です。フィッシングメールが主に個人を対象にした手口なのに対し、ビジネスメール詐欺は組織がターゲットです。

取引先の名前やメールアドレスで取引先になりすまし、実在する企業のメールアドレスに宛てて、本物そっくりの書式で送られてきます。振込先だけ偽った請求書を送信したり、お知らせと称して振込先変更の連絡をしたり、経営者になりすまして社内情報を詐取したりと、詐欺の内容は多岐に及びます。

短文で無作為に配信されているケースは不審感を覚えやすいですが、事前に入念なリサーチとターゲティングが行われた偽のビジネスメールは、本物と見分けることが困難です。

2017年にJALが取引のある金融会社の担当者になりすましたメールを信じ、航空機リース料など3.8億円を送金する事件が起きているように、管理の行き届いた大企業でも被害に遭うことがあります。

（参照：JALが振り込め詐欺で約3.8億円だまし取られる　なりすましメール信じて送金|HUFFPOST）

企業をターゲットにしたビジネスメール詐欺は、被害額も大きくなりがちです。

実在しない公的機関や委託業者へのなりすまし

「キャッシング過払い金支給センター」など、公的機関のような名称の実在しない組織を名乗ったり、公的機関から委託を受けたと称してフィッシングサイトへ誘導したりして、クレジットカードや口座にかかわる個人情報を詐取します。

社会情勢に合わせた内容になっているケースが多く、「コロナウイルス給付金の受給資格があるので、こちらから手続きしてください」や「クレジットカードローンの過払い金があります」といった文面で誘導するケースが報告されています。

（参照：新型コロナウイルス　給付金を装った詐欺に注意｜独立行政法人国民生活センター）

受信者の不安や射幸心を煽る内容の場合が多いので、冷静に対処しましょう。

なりすましメールの例と見分け方

なりすましメールには様々な例がありますが、共通する注意点は「送信元のURL」と「文中にある誘導先のURL」です。

下記は、2022年7月に流行したJR西日本のなりすましメールの文面です。

このなりすましメールは、「【JR西日本:Club J-WEST】できるだけ早くアカウント認証を完了する」「【JR西日本:Club J-WEST】お客様への重要なお知らせです」といった件名で送信されました。

文中のリンクをクリックすると、下の画像のような偽サイトに遷移します。ここでIDとパスワードを入力してしまうと、個人情報やクレジットカード番号の入力ページに遷移し、画面の指示に従うと個人情報を抜き取られてしまうのです。

このような偽サイトは本物のサイトをコピーして作成されているので、なかなか見分けがつきません。偽サイトのURLは本来のサイトのURLとは異なるので、アクセスする前に必ず確認しましょう。

例えば、Amazonからのメールであれば、その送信元のURLは shipment-tracking@amazon.co.jp（注文番号の通知）などですが、誘導先URLのドメイン部分が「amazon.co.jp」ではなく「amazan.co.jp」になっている場合などがあります。本物のサイトURLに似せた文字列を使って誤認させているのです。

URLのドメインに違和感がある場合はなりすましメールである可能性が高いので、文中のリンクをクリックしないのはもちろん、できる限り開封しないようにしましょう。

なりすましメールへの対策⽅法

なりすましメールの被害を避けるには利用者個人の心構えが大事ですが、それだけでは不十分です。システムと心がけの両面から対策を講じる必要があります。

不審なメールを開封しない

届いたメールをとりあえず全て確認する、といった習慣はやめましょう。知らない送り主から送られてきている、金銭が獲得できるなど射幸心を煽っている、口座が凍結されたなど緊急性を強調するようなタイトルがつけられている、といったメールには特に注意が必要です。

HTMLメールの場合、開封しただけでウイルスやマルウェアに感染することがあるので非常に危険です。

文面のURLをクリックしたり、個人情報を入力しない

文面のURLをクリックする前には、必ず文字列を確認しましょう。またURLを確認したうえでも、遷移先のサイトで個人情報を入力するのは危険な行為だと言えます。

アカウントの更新、クレジットカードの期限更新などを求める内容だった場合、届いたメールに記載のURLからアクセスするのではなく、あらかじめ自分でブックマークしていたURLや検索結果に表示されたURLからアクセスするのがよいでしょう。

メールのリンクで遷移すると本物をコピーした偽サイトにアクセスしてしまう可能性があります。URL以外で本物と見分けがつかない偽サイトも多いので注意してください。

むやみに添付ファイルを開かない

メールの添付ファイルをよく吟味せずに開くと、そこからウイルスに感染してしまう可能性があります。多くの取引先から請求書が届く月末は特に、必ず送信元やタイトルを確認してから開封しましょう。取引先を装ったなりすましメールが紛れているかもしれません。

メール文面をコピーして検索にかける

不審なメールの文面で検索をかけると、迷惑メールや詐欺メールとして既に認知されていることがあります。宛名だけ入れ替えた文面が迷惑メールとしてGoogle検索やSNS検索でヒットするケースは多いので、真偽が定かでない場合はまず検索してみるのも良いでしょう。

迷惑メールフィルタを活用する

メールを送受信するメーラーの迷惑メールフィルタも有効活用しましょう。不審なメールをあらかじめ迷惑メールフォルダに格納しておくことで、誤って開封するリスクを避けられます。

フィルタの保護レベルを高めれば迷惑メールと判断される確率が上がるので、必要に応じて利用しているメーラーの機能を調整しましょう。

（参考：迷惑メール フィルタの保護レベルを変更する｜Microsoft）

2段階認証やダブルチェックを行う

重要なシステムに2段階認証を設定したり、手続き確定前にダブルチェックを徹底することで、自分の行動を見直す機会が増え、なりすましメールによる詐欺に遭いにくくなるでしょう。フローがやや複雑化することから、担当者の負担が増える点には注意が必要です。

送信ドメイン認証や電子署名を導入する

送信元が登録済のIPアドレスと一致していないメールを避ける「SPF(Sender Policy Framework)」や、電子署名方式のドメイン認証システム「DKIM (Domainkeys Identified Mail)」を導入することでセキュリティが高まります。

（参考：迷惑メール対策推進協議会「送信ドメイン認証技術導入マニュアル第3版」）

迷惑メールフィルタのようにシステムが自動で対応する仕組みなので、設定を済ませてしまえば担当者の負担が増えることはありません。

まとめ

ビジネスシーンにおいて、メールのやり取りはよくある業務のひとつです。自分が直接関係ない案件でもccやbccなどで情報共有されるケースは多いので、1日に膨大な量のメールをチェックする必要に駆られている人もいるでしょう。

なりすましメールにいくら気を付けていても、人の力だけで対策するには時間・労力の面で限界があります。個人の心がけと新しい技術を並行して用いつつ対策していきましょう。

なりすましメールの手口は日々巧妙化し、セキュリティの裏を突いてきます。個人レベルで対策するだけでなく、組織的に対応することが大切です。