×

メールニュースを購読する

2023.12.06

ChatGPTの登場で詐欺メールはさらに巧妙に?気を付けたい【文例3選】

 2万社以上にセキュリティ対策を強化したメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。2回目は、実際に届いた詐欺メールの文例から、つい引っ掛かってしまいそうなウイルス添付メールの手法を紹介します。

※5月12日にITmediaビジネスオンラインにて掲載したものを、一部編集の上、転載しています

 賞与支払の通知、有名企業からのアンケート、有名企業や団体からの見積もり依頼、そしてChatGPTによる巧妙な日本語の通知など、その種類はさまざま。あなたはそのワナを見破れますか。

ボーナス時期だからこそ「賞与支払届」を疑え

もうすぐ賞与の時期ですね、昨今の物価上昇に伴い支給額上乗せを検討している企業も多いかと思います。そんな心躍る毎年6月、12月の時期に多発するのが「賞与支払い通知」を装った詐欺メールです。2020年のEmotetの時期に大流行した詐欺メールの実例では、拡張子が「.doc」のファイルが添付されていました。

「承認完了」「賞与支払統括表」などの文言から、受信者は、賞与支払の手続き上必要なメールだと勘違いし「総務や経理が賞与支払の一覧を誤送信したのかな?」という興味から、ついうっかり開いてしまうのです。

 確認することよりも興味が先立ってしまう「見てはいけないものを見る」という行為をそそる手段でもあるので注意が必要です。

賞与支払い通知を装った詐欺メールの一例(一部加工してあります)

今までにない、知らされていないフローで給与や賞与の連絡が回ってきた場合は、見たい衝動をぐっとこらえ詐欺メールを疑うことです。それでも「本物かな?」と思った場合は、担当部署に直接確認する方が良いでしょう。

有名企業からのアンケート、だけじゃないかも?

 こちらは、有名なセキュリティ企業からのアンケート調査を装った詐欺メールです。本物のアンケート調査メールのような作りで巧妙です。差出人メールアドレスが“本物(実在)の送信者名”(攻撃者のメールアドレス)となっています。攻撃者のメールアドレスを残しているのは、なりすまし対策の技術「DMARC」をさける意図があると考えられます。

セキュリティ企業からのアンケート調査を装った詐欺メールの一例(一部加工してあります)

メールの一覧画面などで見る限りでは、送信者部分が本物の送信者名で見切れてしまうケースもあるため非常に見分けがつきにくいメールとなります。このような形式のスパムメールは散見されるため、必ず本文を開いて差出人名欄を全て確認するようにしてください。

 また、超有名企業ではなく、逆にニッチで利用者がそこそこいるようなサービスを偽ったメールも注意が必要です。

 まさかこのサービスを偽っての詐欺メールはないだろうという油断と、実際に自分が契約しているという事実が奇跡的にマリアージュ(顧客リストが漏れていただけという仕組まれた奇跡かもしれません)することで普段は慎重な人でもつい釣られてしまうかもしれません。

有名大学からの「見積もり依頼」はまずは怪しむこと!

 次に紹介するのは、早稲田大学を装った見積もり依頼メールです。有名企業や組織のメールアドレスになりすまして、ロゴ画像も付けて送信されます。実際に早稲田大学が公募のために見積もり依頼を公開しており、インターネット上の公開情報が悪用されたケースです。

早稲田大学を装った見積もり依頼メールの一例(一部加工してあります)

 これについては早稲田大学から注意喚起がなされています。メールアドレスも本物になりすまして送信されています。送信者側・受信者側双方で送信元詐称対策をしていないと、簡単に送信者名を偽られてしまいます。

東京大学も、詐欺メールに関して注意喚起を出しています。「あなたの素晴らしい会社について私が受け取る良い環境で――」とあり、こちらの日本語はかなり稚拙。住所も「ほんご、ぶんきょーく、ほんご」となっており、詐欺メールのレベルとしてはかなり低いですね。

東京大学を装った見積もり依頼メールの一例。こちらの日本語はかなり稚拙です(一部加工してあります)

しかし、こうした低レベルの詐欺メールは今後減っていくと思われます。その理由は、最近ニュースを騒がせているChatGPTが登場したためです。

ChatGPTで詐欺メール急増の恐れ!

 最後にChatGPTを使った実例をご紹介します。

 普通に「フィッシングメールの文案を作って」だとChatGPTは当然、断ります。これはOpenAIが定める「違法なことは答えさせない」というガイドラインによるものですが、具体的な日本語の修正はしてくれます。

 前述した東京大学を詐称した低レベルの日本語も、主語の「あなた」が「貴社」などに変り、住所も完全に修復され、流ちょうな日本語になっています。

フィッシングメールの文案を作って

ChatGPTにより、不自然な日本語によるフィッシングメールなどの見分けはさらに困難になっていくことが予想されます。今後はさらなる注意が必要です。

セキュリティ対策は「防災訓練」と同じ、定期的チェックで見抜く力を鍛えよ!

次々と進化していく詐欺メール迷惑メールへの対策として、セキュリティ機器というハード面だけでなくソフト面からの対策も必要と考えます。

 その中でもウイルスメールや詐欺メールを装ったメールを使って従業員の危機意識をチェックする覆面調査は有効ではないでしょうか。メールでの攻撃手法は日々進化しています。それに伴いその時々のトレンドにあわせて調査会社も手法をアップデートしているものと思います。

 セキュリティインシデントは一種の災害ともいえます。 防災訓練と同じで一度やって終わりではなく、定期的に実施することで常に「これは覆面調査かもしれない」という疑いを持つ目が養われます。

 セキュリティの分野は多段階での防御が常識です。また機器だけで100%防ぐこともできません。最終防御ラインとして個人が持つ習慣・感覚が大事になってきます。