×

メールニュースを購読する

2023.11.15

なりすましメールとは? 偽メールを送れる背景と対策

自分の会社のCEOやCFO、関連会社や取引先からメールだと勘違いし、メールの内容や指示にしたがって送金してしまう被害が発生しています。実在する人物や組織になりすましたスパムメール(迷惑メール)が、なりすましメールです。この記事では、なりすましメールのしくみと被害に遭わないための具体的な対策についてご紹介します。

なりすましメールとは

なりすましメールとは、悪意を持った第三者が実在する個人や組織になりすまして送るメールです。実在する組織や個人になりすますことでメール受信者を信用させ、偽の請求書を送付することで不正な送金を促したり、重要な情報を盗んだりするビジネスメール詐欺(BEC)に用いられる攻撃手法です。また、メールの添付ファイルを開くことでマルウェアに感染し、重要情報が盗まれるケースもあります。

なぜ、なりすましメールを送信できるのか?

なりすましメールを送信できる背景は、メールシステムの仕様によります。

メールは「エンベロープ」、「ヘッダー」と「本文」で構成されています。エンベロープは「封筒」を意味しており、実際に送受信される送信元と宛先を表しています。

次に手紙の本文の宛名に当たるのが「ヘッダー」です。

紙の手紙でも、封筒に記載されている宛名や差出人と、手紙の本文に記載されている宛名や差出人の表記が異なる場合があります。メールも紙の手紙と同様に「エンベロープ」と「ヘッダー」の送信元情報が異なっていてもメールを送信できます。ヘッダーを偽装することでなりすましメールを送れてしまうのです。

メール送信の仕組み。なりすましメールを送信できる背景

これは、メールの基本的なプロトコル(SMTP: Simple Mail Transfer Protocol)が、送信者の身元を確認する機能がないため、メールの差出人情報を容易に偽装できるのです。

なりすましメールの脅威

ビジネスメール詐欺

ビジネスメール詐欺(BEC)とは、自社の経営層や関連会社、取引先など、日頃の業務でコミュニケーションしている実在の人物や組織になりすまして、送金や情報提供を指示するスパムメール(迷惑メール)の攻撃手法です。詳しくは「被害額は約4050億円、ビジネスメール詐欺(BEC)の脅威と対策」をご覧ください。

標的型攻撃メール

標的型攻撃 (Targeted Attack) は、特定の企業や組織、個人などのターゲットごとに綿密な計画にそって行われるサイバー攻撃です。なりすましメールで不正なメールを送りつけ、知的財産などの機密情報や個人情報などを窃取し、金銭の要求や社会的信用の失墜を狙います。詳しくは、「増え続ける標的型攻撃メールの受信を防ぐ対策とは?」をご覧ください。

Emotet(エモテット)

Emotet(エモテット)とはトロイの木馬型マルウェアです。セキュリティソフトの検知を回避し、感染したPCからの情報窃取や、実在する人物になりすましたメールを経由して感染を拡大します。

なりすましメールを受信しない技術的な対策とは?

現在、なりすましメール対策として注目されている技術が「DMARC (Domain-based Message Authentication Reporting and Conformance、読み方:ディーマーク)」です。

メール送信者は、予め「自身になりすまされたメールへの振る舞い」を宣言し、受信側はその宣言を参照して、メールのなりすましを検証します。受信したメールをなりすましと判断した際は、受信拒否やメールの隔離 (通常とは違う『迷惑フォルダ』に保存するなど) を行うことができるしくみです。

政府は、政府機関及び独立行政法人等の情報セキュリティ水準を維持・向上させるための統一的な枠組みとして「政府機関等のサイバーセキュリティ対策のための統一基準」を決定しました。

「電子メール」に関する統一基準の遵守事項を満たす対策をまとめたガイドラインで「DMARC」による「なりすましメール防止」対策を講ずることとしています。

なりすましメール対策ソリューション

Microsoft 365やGoogle Workspaceのなりすましメール対策

cmss-0011-006

サイバーソリューションズが提供するCloud Mail SECURITYSUITE(CMSS)は、月額200円からMicrosoft 365やGoogle WorkspaceでDMARCによって「なりすましメール対策」を実現します。また、フィッシング、スパム、PPAP受信対策マルウェア対策など複合的なメールセキュリティにより、危険なメールの受信を防ぎます。

CMSS_image_malware_1詳しくは、3分でわかる「Cloud Mail SECURITYSUITE」をご覧ください。

現在ご利用中のメール環境の「なりすましメール」対策

cmss-0010-005

サイバーソリューションズが提供するMAILGATE Σ(メールゲーツ シグマ)は、オンプレミス製品とMicrosoft365やGoogle WorkSpaceなどのクラウドサービスにも対応できるクラウドメールセキュリティサービスです。

DMARCによる「なりすましメール対策」に加え、アンチスパム、フィッシングメール対策、マルウェアEMOTET(エモテット)などのトロイの木馬の受信防御を月額100円で実現します。受信したメールに潜む未知の脅威を防御するサンドボックスを、月額200円で導入できます。

詳しくは、MAIL GATES Σのサービスページをご覧ください。

7,000アカウントのMicrosoft 365メールセキュリティ対策事例

レオパレス21様の社屋

不動産最大手の株式会社レオパレス21様では、Microsoft 365で運用する約7,000のメールアカウントを運用しています。従来は、3社4製品で実施していたオンプレのメールセキュリティ対策をCMSSでクラウド化し、脱PPAPも実現。CMSSの導入により、最新の脅威の防御と、メールセキュリティの運用・管理工数を削減しました。詳しくは、レオパレス21様の導入事例をご覧ください。