電子メール スプーフィングの説明:フィッシング攻撃を特定して防御する方法

受信トレイをスクロールしていて、お気に入りのブランドや別の「信頼できるソース」からのメールが届いた場合は、メールを開く前に少し立ち止まってください。 2025 年には、フィッシング攻撃の 70% 以上にブランドのなりすましが含まれていました。これらのメールに応答すると、誤ってマルウェアをデバイスにダウンロードしたり、金融詐欺の被害者になったりするなど、重大な結果につながる可能性があります。

メール スプーフィングとは何か、その仕組み、自分自身を守る方法について詳しく説明します。

電子メール スプーフィングの定義

電子メールのスプーフィングは、電子メールを友人や正当な組織など、信頼できる送信元からのものであるかのように見せる欺瞞的な手法です。詐欺師は通常、フィッシング攻撃で偽装メール アドレスを使用し、受信者をだまして機密の個人情報を共有させたり、マルウェアをインストールする危険なリンクをクリックさせたりします。

電子メールのスプーフィングとフィッシング

電子メールのスプーフィングとフィッシングは関連していますが、互換性はありません。電子メールのスプーフィングとは、送信者のアドレスを変更して、電子メールが信頼できる送信元から送信されたものであるかのように見せる行為です。メール フィッシングはソーシャル エンジニアリングの一種で、多くの場合、なりすましメールを使用して、受信者を騙して機密情報を共有させたり、悪意のあるリンクをクリックさせたり、マルウェアをダウンロードさせたりします。

つまり、この 2 つは攻撃者によって一緒に導入されることがよくありますが、メール スプーフィングは必ずしもフィッシング手法であるわけではなく、すべてのメール フィッシングの試みにアドレス スプーフィングが含まれるわけではありません。

電子メールのなりすましはどのように機能しますか?

電子メールのなりすましは、実在の人物または信頼できる機関のアドレスを模倣した偽の電子メール アドレスを作成することによって機能します。次に、攻撃者は、送信者のアドレスや件名などのメール ヘッダーのメタデータを変更し、メッセージを作成し、なりすましメールをターゲットに送信します。

たとえば、犯罪者の本当の目的はお金を盗むことですが、IRS になりすまして電子メールを送信し、税金を滞納していると主張する可能性があります。

電子メール スプーフィングの仕組みの内訳は次のとおりです。

<オル>

詐欺師が偽のメールを作成する:サイバー犯罪者は、なりすました個人や組織のアドレスによく似た偽のメール アドレスを作成します。

メール ヘッダーを偽造します。攻撃者は、送信者、返信先、送信者フィールドなどのメールのヘッダー情報を変更して、メールが信頼できる送信元から送信されたものであるかのように見せかけます。

メール コンテンツを作成する:偽のメッセージは、受信者をだまして、それが正規のものであり、詐欺に関与していると信じ込ませるように作成されます。

なりすましメールが送信されます。十分に説得力がある場合、ターゲットはだまされて悪意のあるリンクをクリックしたり、個人情報を提供したりする可能性があります。

なりすましメールがどのようなものかを示す図。

詐欺師がメールをなりすます理由

詐欺師は、電子メールのなりすましを使用して受信者を騙し、メッセージが信頼できる送信元からのものであると信じ込ませます。これにより、機密情報を盗んだり、マルウェアを拡散したり、金銭的利益を得るために詐欺行為を行ったりすることが容易になります。

ここでは、メール スプーフィングの最も一般的な理由を詳しく見ていきます。

• フィッシング:攻撃者は、信頼できる個人や組織になりすますことで、被害者を操作して、ログイン認証情報、金銭やギフトカードの送信、マルウェアのダウンロードなどの機密情報を漏らすことができます。
• 偽情報の拡散:悪意のある者がメールをなりすまして偽情報やフェイクニュースを拡散する可能性があります。これにより、なりすました組織または個人の評判が損なわれる可能性があります。
• メール フィルタの回避:信頼できるメール構造とドメインを模倣することで、なりすましメールがメール スパム フィルタを回避できる場合があります。
• 匿名性の維持:メール スプーフィングにより、詐欺師は本当の身元を隠しながら攻撃を実行できます。 VPN などの高度なテクノロジーと組み合わせると、なりすましの追跡が困難になる可能性があります。
• マルウェアの拡散:なりすましメールには、被害者の端末にマルウェアをインストールする悪意のある添付ファイルやリンクが含まれている可能性があり、攻撃者がデータを盗んだり、システムに不正にアクセスしたりする可能性があります。
• 金融詐欺:サイバー犯罪者は、役員、同僚、ベンダーのメール アドレスを偽装して、被害者をだまして偽の請求書を支払わせたり、支払い詳細を変更させたりする可能性があります。

LastPass ユーザーをターゲットにした最近のフィッシング キャンペーンでは、詐欺師が電子メールを偽装してログイン資格情報を盗む方法が示されています。攻撃者は、本物のサイトを模倣した偽のログイン ページへのリンクを含む、正規のサポート通信であるかのように見えるメッセージを送信しました。被害者は自分のアカウントを「保護」するために迅速に行動するよう求められましたが、被害者の詳細を入力した人は、認証情報をサイバー犯罪者に直接渡す危険がありました。

2024 年にフィッシング詐欺やなりすまし詐欺によって失われた金額を示す図。

一般的なタイプの電子メール スプーフィング攻撃

電子メールのなりすましには、上司、政府機関、有名ブランドなどの信頼できる人物になりすますことがよくあります。これらのメッセージは通常、緊急性や権限に基づいて、迅速に行動するよう圧力をかけます。以下は、注意すべき最も一般的なタイプの一部です。

• CEO 詐欺:攻撃者は会社役員のメール アドレスを偽装し、従業員に緊急リクエストを送信します。多くの場合、電信送金やギフトカードの購入を要求します。メッセージは上級権力者からのものであると思われるため、従業員はリクエストを確認せずに行動する可能性があります。
• 偽の請求書詐欺:詐欺師はベンダー、請負業者、サービス プロバイダーになりすまして、支払いを要求する偽の請求書を送信します。これらのメールには、変更された支払い詳細が含まれており、資金が正規の企業ではなく攻撃者にリダイレクトされる可能性があります。
• アカウント確認詐欺:なりすましメールは、アカウントに問題があると主張し、本人確認またはパスワードのリセットを求めます。通常、これには、認証情報を取得するために設計された偽のログイン ページへのリンクが含まれています。
• 政府なりすまし詐欺:攻撃者は、IRS やその他の公的機関などの政府機関からのメール アドレスをなりすます可能性があります。こうしたメッセージでは、お金を借りている、税金情報を確認する必要がある、または緊急の法的問題に対応する必要があると主張することがよくあります。
• ブランドのなりすまし:サイバー犯罪者は有名企業になりすまして、受信者をだまして悪意のあるリンクをクリックさせたり、感染した添付ファイルをダウンロードさせたりします。一般的な例には、Amazon 詐欺や、Geek Squad などの正規のブランドを装った詐欺技術サポート メールなどがあります。
• パスワード リセット詐欺:攻撃者は、一般的なプラットフォームから偽のパスワード リセット通知を送信し、ユーザーをだまして詐欺的なウェブサイトにログイン認証情報を入力させます。
• 内部 IT のなりすまし:職場環境では、詐欺師が IT 管理者のメール アドレスを偽装し、ログイン認証情報、MFA コード、またはシステム アクセスを要求して、企業アカウントを侵害する可能性があります。

なりすましメールを見分ける方法

なりすましメールを特定する最も効果的な方法には、メール アドレスの不規則性の検出、送信者の表示名とメール アドレスの不一致の特定、メッセージ内の不必要な緊急性の検出、セキュリティ プロトコル チェックの失敗の発見などが含まれます。

なりすましメールが受信トレイに届いたことを示す次の兆候に注意してください。

• 不審なメール アドレス:わずかなスペルミス、余分な文字、送信者が代表していると主張する組織と一致しない異常なドメインがないか確認します。
• 表示名とメール アドレスの不一致:表示名には見覚えがあるが、実際のメール アドレスが送信者と一致しない場合は注意してください。
• 緊迫感:誤った緊迫感を与えることは、詐欺師のよくある手口です。アカウントの閉鎖や法的影響を脅かすことで、受信者に迅速な対応を求める圧力をかけることがよくあります。
• セキュリティ プロトコルの失敗:SPF、DKIM、DMARC などの認証チェックの失敗に関するメール クライアントからの警告を探します。これは、メールがなりすましであることを示す可能性があります。

電子メールのなりすましのリスク

攻撃者は、信頼できるソースになりすますことで、あなたを操作して、あなた自身またはあなたの組織のセキュリティを侵害する行動をとらせることができます。ここでは、なりすましメールに返信した場合にどのような結果が生じるかを詳しく見ていきます。

• 個人情報の盗難:なりすましメールにより被害者が社会保障番号やログイン認証情報などの個人情報を提供させられる可能性があり、攻撃者はこれらの情報を利用して個人情報を盗み、詐欺行為を行う可能性があります。
• 金融詐欺:支払いや銀行口座の詳細を記載したなりすましメールに返信すると、被害者は金銭を失う可能性があります。
• マルウェア感染:なりすましメールのリンクをクリックしたり添付ファイルを開いたりすると、デバイスに悪意のあるソフトウェアがインストールされ、攻撃者が機密情報にアクセスできるようになる可能性があります。
• データ侵害:認証情報の侵害や、なりすましメールによる不正アクセスは、大規模なデータ侵害につながり、企業や顧客の機密情報が漏洩する可能性があります。

2025 年、詐欺師が正規のベンダーから送信されたかのように見せかけたなりすましメールを送信して、ノックス郡政府機関から 75 万ドル以上を盗みました。送信者のアドレスを少し変更しただけで、職員が銀行のルーティング情報を更新するように誘導され、攻撃者が資金をリダイレクトできるようになりました。したがって、メールに返信する前に、送信者のアドレスをチェックして、詐欺に遭っていないかどうかを確認することをお勧めします。

メールのなりすましを防ぐ方法

なりすましメールを見分ける方法を知ることは、なりすましメールがもたらす危険から身を守る第一歩です。しかし、偽メールが非常に巧妙であるため、明らかな危険信号がない場合もあります。安全を確保するための追加のヒントを次に示します。

ユーザー向け:

• 急いではいけません:メールが正当なものかどうかわからない場合は、時間をかけて確認してください。緊急の言葉や脅迫的な言葉によって、すぐに行動するようプレッシャーをかけられないようにしてください。
• クリックしないでください:確信が持てない場合は、リンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。なりすましメールには、悪意のあるウェブサイトやマルウェアへのリンクが含まれていることがよくあります。
• 応答しない:すべてのスプーフィング攻撃がマルウェアに依存しているわけではありません。情報や金銭を直接抜き出すことを目的とした攻撃もあります。メッセージに記載されている連絡先に返信したり、電話をかけたりしないでください。
• 別のチャネルを通じて確認する:送信者に見覚えがあるものの、何か違和感がある場合は、別のチャネルを通じて確認します。電話をかけるか、テキスト メッセージを送信するか、会社のウェブサイトにある公式の連絡先情報を使用します。
• ウイルス対策ソフトウェアを使用する:最高のウイルス対策ソフトウェアは、なりすましメールに関連したフィッシング、マルウェア、個人情報盗難から保護するのに役立ちます。

ドメイン所有者の場合:

• SPF、DKIM、DMARC の実装:これらのメール認証プロトコルは、攻撃者によるドメインのなりすましを防ぎ、不審なアクティビティについて警告するのに役立ちます。
• 不正使用を監視する:メールのアクティビティを定期的に確認し、ドメインがなりすましまたは悪用されている兆候を監視します。
• 従業員の教育:財務上の要求や機密性の高い要求に対応する前に、なりすましメールを認識し、適切な確認手順に従うようにスタッフを教育します。
• アラートを設定する:認証チェックの失敗やその他の不審なアクティビティを管理者に通知するようにメール システムを設定します。

なりすましメールに騙された場合の対処方法

最も注意深いユーザーでも、なりすましメールに騙されることがあります。迅速に行動することで被害を最小限に抑え、アカウントと個人情報を保護することができます。詐欺メールに関与した場合は、次の手順を実行してください。

• パスワードを変更する:アカウントごとに強力で一意のパスワードを使用して、漏洩した可能性のあるアカウントのパスワードを直ちに更新します。
  
• 金融機関に連絡する:機密の支払い情報が漏洩した可能性がある場合は、銀行、クレジット カード会社、またはその他の金融機関に通知してください。
  
• デバイスのマルウェアをスキャンする:なりすましメールとやり取りしたデバイスで完全なウイルス対策またはマルウェア対策スキャンを実行し、潜在的な脅威を検出して削除します。
  
• インシデントを報告する:該当する場合は IT 部門に通知し、メール プロバイダー、なりすました会社、政府のサイバーセキュリティ機関などの関係者にメールを報告します。

ノートンで不審なメールを検出

どれだけ注意していても、なりすましメールやその他の悪意のあるメッセージが受信トレイに届く可能性があります。ノートン 360 デラックスは、安全でないリンクの自動検出とヒューリスティック脅威検出エンジンにより、高度なスプーフィング攻撃に対する強固な防御層を提供し、マルウェア攻撃が被害を及ぼす前に阻止します。

よくある質問

電子メールのなりすましは違法ですか?

はい、電子メールのなりすましは、詐欺を行ったり、個人情報を盗んだり、サイバー攻撃を開始したりするために使用される場合、違法です。米国コンピュータ詐欺および悪用法 (CFAA) や不正行為防止法などの法律により、悪意のある目的でオンラインで誰かになりすますことは犯罪とされています。

ただし、スプーフィング自体は通常、本質的に違法ではありません。たとえば、テストやロールプレイングに偽のメールを使用することは、詐欺や危害が含まれない限り、通常は許可されます。

誰かが私のアカウントにアクセスせずに私の電子メール アドレスを偽装することはできますか?

はい、あなたのアカウントにログインしなくても、誰かがあなたの電子メール アドレスをなりすますことができます。攻撃者は電子メールのヘッダーを操作して、実際ではないにもかかわらず、メッセージがあなたのアドレスから送信されたかのように見せかけます。あなたのアカウントは安全なままですが、詐欺師は依然としてあなたのアドレスを使用して他の人の信頼を得ようとする可能性があります。

スパム フィルターはなりすましメールを阻止できますか?

スパム フィルターは、特に送信者が SPF、DKIM、DMARC などの認証チェックに失敗した場合に、多くのなりすましメールを検出する可能性があります。ただし、一部のなりすましメッセージは、これらのフィルターをバイパスして正当なもののように見えるほど高度なものです。フィルタはリスクを軽減しますが、確実ではありません。そのため、リンクをクリックしたり情報を共有したりする前に、警告の兆候を監視し、疑わしいメールを確認することが重要です。

• オリバー・バクストン
• サイバーセキュリティ編集者スタッフ

ノートンのスタッフ編集者であるオリバー・バクストンは、高度で持続的な脅威を専門としています。サイバーテロに関する彼の研究はタイムズ紙に掲載されており、これまでの仕事にはデジタル保護ポリシーの執筆も含まれます。

編集者注: 私たちの記事は教育的な情報を提供し、サイバー セーフティの重要なトピックについての意識を高めるために書かれています。ノートンの製品とサービスは、私たちが記事にしているあらゆる種類の脅威、詐欺、犯罪から保護できるわけではありません。 記事の調査、執筆、レビューの方法の詳細については、編集ポリシーをご覧ください。