スカイスナッグ・ブログ

なりすましメールとは?

2023年10月11日 6 min read

電子メールのなりすましは、偽造された送信者アドレスで電子メールメッセージを作成することです。これは、メッセージが意図した送信元以外から送信されたように見えることを示します。フィッシングやスパムキャンペーンでは、受信者が本物の送信者を特定するのを難しくし、メールを開かないようにするために、なりすましメールがよく使われます。なりすまし攻撃は、電子メールのヘッダーを改ざんし、あたかも別の送信者からのメッセージであるかのように見せかけるものです。これは、Fromフィールドやその他のヘッダー要素を変更することで実現できます。

電子メールのなりすましは、以下のような理由で可能である:

  1. 認証の欠如: 電子メール・メッセージの送信者を認証する標準的な方法はない。つまり、送信者アドレスを偽造してメールを送信することが可能なのです。
  2. ドメイン・スプーフィングドメイン・スプーフィングとは、送信者のドメイン名を偽装するメール・スプーフィングの一種です。これは、Fromフィールドやメールヘッダの他の部分を変更することによって行うことができます。
  3. SMTPリレー: SMTPリレーは、あるサーバーから別のサーバーへメッセージを送信することを可能にする電子メール配信方法である。これを利用して、送信者アドレスを偽装した電子メールメッセージを送信することができる。

なりすましメールの歴史

電子メールのなりすましは、電子メールの黎明期から使われてきた。1978年、デジタル・イクイップメント・コーポレーションの2人のエンジニアが、電子メール・スプーフィングを使って、最高経営責任者(CEO)からのメッセージであるかのように装って、社長にメッセージを送った。1990年代には、スパマーが迷惑な商用電子メール(UCE)を送るために、電子メールのなりすましが使われた。2001年には、Melissaウイルスが電子メールのなりすましを利用して拡散した。2003年には、SoBigウイルスが電子メールのスプーフィングを利用して拡散した。2007年には、Stormワームが電子メールのなりすましを利用して拡散した。

なりすましメールの仕組み

電子メールのなりすましは、電子メール・メッセージの送信者アドレスを偽造することで機能する。これは、Fromフィールドやヘッダーの他の部分を変更することによって行うことができます。

フィッシング・キャンペーンで電子メールのなりすましが使用される場合、攻撃者は多くの場合、正当な企業やウェブサイトから来たように見える電子メールを送信します。メールには通常、受信者のログイン認証情報を盗むための偽のウェブサイトにつながるリンクが含まれています。

Paypalスプーフィング例

2018年、PayPalユーザーを狙ったなりすましメールが蔓延した。メールはPayPalからのものだと名乗り、受信者のアカウントが停止されたと言っていた。メールは受信者に、アカウントを再有効化するためのリンクをクリックするよう指示していた。しかし、そのリンクは、ユーザーのPayPalログイン認証情報を盗むために設計された偽のウェブサイトにつながった。

このキャンペーンが成功したのは、Eメールのなりすましを利用して、Eメールが合法的な送信元から来たように見せかけたからだ。このメールはまた、受信者を騙してリンクをクリックさせるために説得力のある言葉を使っていた。

なりすまし攻撃の被害を避ける方法

迷惑メールを疑うことは重要です。不審なEメールが届いたら、リンクや添付ファイルをクリックしないでください。その代わりに、その会社に直接連絡し、メールが正当なものであることを確認してください。

攻撃者は、送信者アドレスを任意の電子メールアドレスに設定する、あらゆる言語の基本的なスクリプトを使用して、プログラムでメッセージを送信することができます。電子メールAPIのエンドポイントでは、アドレスが存在するかどうかに関係なく、送信者が送信者アドレスを指定することができます。また、送信メールサーバーは、送信者のアドレスが正当なものかどうかを判断することはできません。

電子メールサーバーは 簡易メール転送プロトコル (SMTP)を使用してメッセージを送受信します。をクリックすると "送信" をメールクライアントに設定すると、メッセージはクライアントソフトウェアに設定されているSMTPサーバーに送られます。SMTPサーバーは受信者のドメインを検索し、そのドメインのメールサーバーにメッセージを転送します。その後、受信者のメールサーバーは、適切な受信トレイにメッセージを配信します。

電子メールメッセージがあるサーバーから別のサーバーへとインターネット上を移動するたびに、各サーバーのIPアドレスが記録され、電子メールのヘッダーに含まれます。これらのヘッダーは、本当の経路と送信者を示していますが、多くの人はメール送信者とやりとりする前にヘッダーを見ません。

電子メールの3つの主要部分とは

  • 送信者アドレス
  • 受信者アドレス
  • メール本文

攻撃者は、電子メールの送信者アドレスを簡単に偽造して、あたかも正当な送信元から届いたように見せかけることができます。メールサーバーは送信者のアドレスを検証しないため、アドレスが偽造されていてもメッセージは配信されます。これをフィッシング攻撃で利用し、あたかも信頼できる送信元からのメールであるかのように見せかけることができる。攻撃者はまた、Reply-Toフィールドを使って、返信の送信先を指定することもできます。

このメールは、Received-SPFフィールドのステータスがFAILとなっており、なりすましメールであることを示す最良の指標となっている。差出人欄のメールアドレスは、ビル・ゲイツ (b.gates@microsoft.com).しかし、このメールはもともとメールサーバーの email.random-company.nlこれは電子メールのなりすましであることを示す最初の手がかりである。これらのメール・ヘッダで最も確認すべきフィールドはReceived-SPFセクションである。

使用済み燃料プール

SPFは2014年に標準化されたセキュリティ・プロトコルである。DMARCと連携してマルウェアやフィッシング攻撃を阻止する。

SPFはなりすましメールを検知することができ、フィッシング対策としてほとんどのメールサービスで一般的になっている。しかし、SPFを使用するのはドメイン保有者の責任である。ドメイン所有者は、SPFを使用するために、ドメインに代わってメールを送信することを許可されたすべてのIPアドレスを指定するDNS TXTエントリを設定する必要があります。

このDNSエントリが設定されていると、受信者の電子メール・サーバーはメッセージを受信するときにIPアドレスを調べて、電子メール・ドメインの許可されたIPアドレスと一致することを確認します。一致する場合、Received-SPFフィールドはPASSステータスを表示します。一致しない場合、フィールドはFAILステータスを表示する。受信者は、リンク、添付ファイル、または書面による指示を含む電子メールを受信した場合、このステータスを確認する必要があります。

なりすましメール統計

  • 毎日31億通のなりすましメールが送信されている。これは地球上の2人に1通の割合に相当する。また、これらのなりすましメールの大半は、中国とロシアの悪意あるアクターから送信されていることも判明した。
  • 電子メールのなりすましやフィッシングは、2016年以来、推定260億ドルの費用を要する世界的な影響を及ぼしている。米国では、2019年だけで120億ドル以上が電子メール詐欺やサイバー犯罪によって失われたとFBIは報告して いる。

電子メールのなりすましを利用した一般的な攻撃に、ビジネスメール詐欺(BEC)がある。これは、電信送金を要求したり、機密情報にアクセスしたりするために、サイバー犯罪者が組織内の高級幹部からの電子メールになりすますというものです。

サイバー犯罪者の手口が巧妙化するにつれ、電子メールによるなりすまし攻撃は今後も増加することが予想される。

近年、電子メールによるフィッシング詐欺の有名な例が数多くある。ここでは、最も注目されている事例をいくつか紹介しよう:

  • 2016年、民主党全国委員会(DNC)はフィッシング攻撃の被害に遭い、2万通以上のメールが流出した。
  • 2017年、英国の国民保健サービス(NHS)を狙ったフィッシング攻撃により、1万9000件以上の予約がキャンセルされた。
  • 2018年、グーグルは100万人以上のユーザーに影響を与えたフィッシング攻撃の標的になっていたことを公表した。
  • 2019年、ボルチモア市はフィッシングメールを発信源とするランサムウェア攻撃を受けた。この攻撃は市のコンピューターシステムを麻痺させ、1800万ドル以上の損害をもたらした。
  • 2020年、信用調査会社Equifaxのデータ漏洩により、1億人以上の個人情報が流出した。この情報漏えいは、Equifaxの従業員の一人に対するフィッシング攻撃の結果であった。

なりすましメールから身を守るには

なりすましメール攻撃から身を守るために、いくつかできることがあります:

  1. DMARCは、Domain-based Message Authentication and Reportingの略で、電子メールのなりすましを防止するための電子メール認証規格です。メール送信者はDMARCを使用して、認証に失敗した場合のメールの処理方法を記述することができます。

    Skysnagアカウントを作成する を作成してください。

  2. SPF(Secure Sender Policy Framework)は、電子メールのなりすましを防ぐために使用できる電子メール認証規格です。メール送信者は、SPFを使用して、どのサーバーが自分の代わりにメールを送信できるかを示すことができます。
  3. 信頼できるメールサービスを利用する:信頼できるメールサービスには通常、なりすまし防止機能が備わっています。
  4. 迷惑メールは、たとえ信頼できる送信元から送られてきたように見えても、慎重に扱わなければなりません。不審なEメールが届いた場合は、開封したり、リンクや添付ファイルをクリックしたりしないでください。
  5. 個人情報や財務情報を求めるメールには返信しないこと。この種の情報は、合法的な企業からメールで要求されることはありません。
  6. ウィルス対策ソフトを常に最新の状態に保ち、定期的にコンピュータをスキャンしましょう。そうすることで、フィッシングメールを開いた結果インストールされてしまった危険なソフトウェアを検出し、削除することができます。
  7. Eメールアカウントで、二要素認証を有効にする。これにより、アカウントにセキュリティ層が追加され、詐欺師によるアクセスがより困難になります。
  8. 不審なメールは、メールプロバイダーと警察に報告すること。そうすることで、他の人が同じ詐欺の被害に遭わないようにすることができます。
  9. ドメインのメール認証メカニズムを設定します。

結論

SkysnagはDMARC、SPF、DKIMを自動化し、手動設定に必要な手間と時間を省きます。SPFやDKIMを含むメール認証設定の問題を回避し、厳格なDMARC enforcement 、お客様のドメインをなりすましから守ります。このリンクから 無料トライアルに登録し、健全なドメイン名を維持しましょう。

ドメインのDMARCセキュリティコンプライアンスを確認する

DMARC、SPF、DKIMを数カ月ではなく数日で施行する

Skysnagは、多忙なエンジニアがDMARCを実施し、SPFやDKIMの設定ミスに対応することで、メールの配信性を向上させ、なりすましやID偽装を排除します。