メールスプーフィングとは？種類と実例

サイバーセキュリティの脅威はますます高度化し、企業への潜在的な被害は日々増大しています。こうした高まるサイバー脅威の中でも、サイバー犯罪者がますます採用している手法がスプーフィングです。スプーフィングとは、ハッカーが、信頼できない送信元からの通信を、あたかも信頼できる送信元からのもののように見せかけるために使用する手法です。これは、電子メール、電話、ウェブサイトなどを通じて行われる可能性があります。この手法により、攻撃者は個人や組織を欺き、重要な情報の開示やセキュリティ上の弱点を悪用される可能性のある行動を促すことに成功する可能性があります。

メールスプーフィングは、攻撃者が偽の送信者アドレスを使用して信頼できる組織を装う一般的な手法となっています。メールシステムにはいくつかの固有の弱点があり、この戦術をフィッシング詐欺において強力なツールとしています。実際、全フィッシング攻撃の約96％がメール経由、3％が悪意あるウェブサイト経由、1％が電話経由で行われています。スプーフィングされたメールが信頼できる送信元を装うことを考慮すると、企業がメールセキュリティ対策を強化する必要性が浮き彫りになります。

本ガイドでは、メールスプーフィングの定義やフィッシングとの違いから、関連するリスクや効果的な予防策までを網羅しています。さらに、メールスプーフィング詐欺の実例や関連統計、よくある質問にも触れて、この重要な問題への理解を深めていただきます。

電子メールのなりすましについて理解する

電子メールは、今日でもビジネスや個人的なコミュニケーションの生命線であり続けています。しかし、この利便性は重大なリスクも伴います。最も蔓延している脅威があるとすれば、それはメールスプーフィングだと言えるでしょう。堅牢な防御策を構築するには、その仕組みを理解することが不可欠です。本セクションでは、スプーフィングの詳細な技術的側面と、攻撃者が受信者を操作して外部メールを騙る手法について解説します。

メールスプーフィングの定義

電子メールなりすましとは、攻撃者がメールヘッダーを偽造し、実際の送信者とは異なる人物や場所からのメッセージに見せかける手法です。FBIのインターネット犯罪苦情センター（IC3）の報告によると、2021年だけで電子メールなりすましや類似の詐欺により、世界中で24億ドル>に上ると報告しています。

この数字は、メールスプーフィングが世界中の企業に与える甚大な損害を如実に示しています。攻撃者は、複数のセキュリティ対策を突破してメールなりすましの脆弱性を悪用し、受信者に機密情報の共有や送金を促します。

メールスプーフィングとフィッシングの違いとは？

メールスプーフィングはサイバー犯罪者がよく用いる手法であり、フィッシングと混同されることが多いですが、両者は異なる手法であることを理解することが重要です。両手法は目的が異なり、人を欺くための戦術も異なります。

これらの2つの手法の違いを理解することは、両方の脅威から保護する対象を絞ったセキュリティ対策の実施に貢献します。

メールスプーフィングもフィッシングも、よく知られた詐欺の手法ですが、その手法や目的は大きく異なります。メールスプーフィングは通常、送信者の身元やメールのヘッダーを偽造することで達成され、フィッシングは偽のウェブサイト、添付ファイル、またはユーザーに特定の行動を促すその他の手法を組み込むことがほとんどです。lt;/p>

なりすましは大規模なスパムメッセージや、時には周到に計画されたキャンペーンに組み込まれるのに対し、フィッシングは特定の個人や企業を標的とした、より個別化された攻撃形態です。

電子メールのなりすましとフィッシングの両方には非常に深刻な法的結果が伴いますが、それらに対する対策は異なります。例えば、電子メール認証はなりすましの防止に役立ちます。具体的にはDKIM（DomainKeys Identified Mail）、SPF（送信者ポリシーフレームワーク）、DMARC（ドメインベースメッセージ認証・報告・準拠）が有効です。一方、フィッシング対策は受信者教育とフィッシング対策戦略の採用が基盤となります。

メールスプーフィングの危険性とは？

メールスプーフィングの危険性は単なる迷惑行為にとどまらず、企業の収益基盤、データセキュリティ、評判に深刻な打撃を与える可能性があります。スプーフィング攻撃が成功すると、その波及効果は運用予算の混乱、顧客信頼の喪失、長期にわたる評判の毀損を引き起こす恐れがあります。

本セクションでは、メールスプーフィングが企業と個人双方に深刻なリスクをもたらす仕組みを解説します。

1. 金銭的損失:電子メールなりすましの結果生じる金銭的損失は甚大なものとなり得ます。ここでは、ハッカーは上級管理職やベンダーを装い、不正な電信送金を開始したり支払いを要求したりする可能性が最も高くなります。こうした詐欺は信頼を悪用する傾向があり、数百万ドル規模の不正取引につながり、運営上のキャッシュフローに長期的な影響を及ぼす可能性があります。
2. データ侵害: 電子メールなりすましは、サイバー犯罪者が企業の機密情報にアクセスする手段を提供します。従業員を騙して認証情報を開示させることで、攻撃者は企業ネットワークにアクセスし、データ侵害を引き起こす可能性があります。これにより、データ保護規制違反を通じて機密情報が侵害される結果となります。&
4. 評判の毀損: 電子メールなりすまし攻撃が成功すると、企業の評判は著しく損なわれます。顧客や取引先は、企業を装ったメールによる詐欺被害に遭った場合、その企業への信頼を失う可能性があります。この損害を修復するには時間とリソースが必要であり、長期的な顧客関係に悪影響を及ぼす恐れがあります。
5. 法的影響: 電子メールなりすまし攻撃がデータ漏洩や顧客データに関する何らかの金融詐欺につながった場合、企業は法的責任を問われる可能性があります。規制当局による罰金や被害者からの法的措置が発生する可能性があり、サイバーセキュリティ規制への準拠が極めて重要となります。

メールなりすまし攻撃の主な種類

メールなりすまし攻撃は多様な形態をとり、メールシステムとユーザー行動の両方の弱点を悪用する様々な手法を用います。基本的な表示名なりすましから転送攻撃まで、各手法にはサイバーセキュリティチームが取り組むべき課題が存在します。

これらの一般的な種類を理解することで、潜在的な脅威を効果的に認識し軽減できます。

1. 表示名なりすまし: 受信者の受信トレイ内で表示される名前をサイバー犯罪者が変更する手法です。元のメールアドレス自体は変更されません。多くのユーザーは「表示名」を送信者確認に利用するため、被害に遭うリスクが高まります。この手法では、脆弱なユーザーインターフェースを悪用し、実際の送信者アドレスに十分な注意を払わないユーザーを欺きやすくします。
2. ドメイン偽装:受信者が慣れ親しんだドメインからの送信に見せかけるため、メールヘッダーを偽造する手法です。多くの攻撃では類似またはわずかに異なるドメイン名を標的とし、これにより不審な通信を管理するセキュリティフィルターを回避し、認証手段として慣れ親しんだドメイン名に依存する受信者を欺きます。
3. 返信先偽装: 返信先ヘッダーアドレスを改変するメール偽装の一種です。このアドレスは、メールの実際の送信者以外の宛先に返信を届ける役割を果たします。これは、機密情報を要求したり、即座に不審な警報を鳴らさずに詐欺的な会話を行ったりするために使用される一般的な手法のひとつです。
4. 類似ドメイン攻撃: 攻撃者は、文字セットを変更したり、異なるトップレベルドメインを使用したりして、よく似たドメインを登録します。送信者を注意深く確認しない限り、このようなメールは正当に見えます。
5. メール転送スプーフィング:従業員のアカウントでメール転送ルールを変更する手法です。これにより攻撃者はメールを傍受し、第三者に転送する機会を得ます。この行為は長期間繰り返される可能性があり、組織にとって重大な脅威となる企業状況に関する重要情報を収集する過程で発生します。

メールスプーフィングの仕組みとは？

電子メールのなりすましが詳細に説明されることで、攻撃者がセキュリティを回避するために電子メールシステムをいかに巧妙に操作しているかが明らかになります。電子メールヘッダーの偽装や旧式プロトコルの悪用により、サイバー犯罪者は手間をかけずに容易に偽装攻撃を実行し、検知を逃れられます。

本セクションでは、攻撃者がこれらの手口を実行する手順を段階的に解説します。

1. ヘッダースプーフィング: 電子メールのスプーフィングや偽造では、ヘッダーの「FROM」フィールドが標的となり、メッセージ送信者の身元を偽装するために変更が加えられます。ハッカーはヘッダー情報を改ざんし、メッセージが被害者が信頼する送信元からのもののように見せかけます。これは、電子メールシステムにおいて送信者に関する情報が潜在的に脆弱な方法で管理されていることに起因します。これは、ほとんどのなりすましメールが実行される非常に主要な基盤となり得ます。&
2. SMTPの悪用: SMTPは電子メールの送信と中継に使用されるアプリケーション層プロトコルです。高度な認証機能が組み込まれていません。攻撃者は、SMTPサービスが送信元の身元を確認しないため、標的のSMTPサーバーに接続し、偽造された送信者アドレスでメッセージを送信することが可能です。
3. 認証プロトコルの回避: 一部のサイバー犯罪者は、SPF、DKIM、DMARCなどのメカニズムを迂回します。彼らは偽装メールを送信し、設定ミスやその他の高度な技術によってセキュリティフィルターを通過させることに成功する場合があります。
4. オープンリレーの利用: これらは、あらゆる送信者からのメールを受け入れ、あらゆる受信者に中継するように設定されたメールサーバーです。かつては大量に存在し攻撃者に悪用されましたが、現在ではセキュリティ対策の強化により大半が排除されています。それでも攻撃者が匿名で偽装メールを送信できるため、依然としてリスク要因となっています。
5. ソーシャルエンジニアリング: 攻撃者は技術的手法とソーシャルエンジニアリング手法を組み合わせます。例えば、偽装メールで緊急性を装った個別メッセージを作成し、潜在的な被害者の信頼を得ようとします。この種の心理的操作により、なりすましキャンペーンの成功率が向上します。

なりすましメールの見分け方とは？

高度な技術が使われているにもかかわらず、なりすましメールにはしばしば、その悪意を露呈する微妙な手がかりがいくつか含まれています。メールが偽装されているか本物かを識別するのに役立ちます。

このセクションでは、被害が出る前に偽装メールを認識するための実践的なヒントをいくつか紹介します。

1. メールヘッダーの確認: 偽装メールを発見する理想的な方法は、メールヘッダー全体を確認することです。これは基本的に、メッセージが受信トレイに届くまでの経路を示しています。「Received」フィールドを追跡し、送信者と主張するフィールドと実際の送信元との間に矛盾点を見つけることができます。この方法で偽装された送信者情報を特定できます。
2. 送信者のメールアドレスを確認する: 送信者のメールアドレスは、注意深く精査することでなりすましを特定できる手段です。攻撃者は、正当な送信者のものと比べてわずかな差異やスペルミスがある類似したメールアドレスを使用する場合があります。送信者アドレスを既知の連絡先と比較することで、微妙な変更を加えたなりすましメールを特定できます。
3. 不審な内容: なりすましメールには文法エラーや不自然な文章構造が含まれる場合があり、送信者らしくない内容であることもあります。不審な添付ファイルやリンクには注意が必要です。これらはなりすまし詐欺の試みを示す可能性があります。
4. 緊急を要する要求に注意する: 緊急性を煽り、即座の対応を迫るメールに注意してください。攻撃者は批判的思考を妨げ、被害者に誤った判断を急がせるためにこの手法を用います。スプーフィング攻撃の被害を防ぐため、緊急の要求は常に別の手段で確認してください。
5. 汎用的な挨拶文の使用: 宛名に名前ではなく「お客様各位」などの汎用的な挨拶文が使われているメールは、なりすましの可能性が高いです。正当な企業は通常、メッセージを個別に調整します。このような一般的な挨拶は、送信者が実際にあなたの個人情報を欠いていることを示唆しており、偽装の試みの可能性を示す手がかりとなるはずです。

メールなりすましの防御策とは？

メールなりすましの防止には、認証プロトコルの導入から従業員教育に至るまで、技術的対策とユーザー教育の両面を含む多層的な解決策が必要です。

本セクションでは、組織がなりすまし攻撃の被害に遭うリスクを最小限に抑えるために講じるべき必要な対策について説明します。

1. メール認証プロトコル: SPF、DKIM、DMARCなどのメール認証プロトコルを導入することが極めて重要です。SPFは送信元のIPアドレスを確認し、DKIMはメッセージの完全性を検証します。DMARCはSPFとDKIMを統合し、包括的な保護を提供します。これらの仕組みにより、メールの認証と偽装メッセージのブロックを通じて、送信者の存在・真正性・受信トレイへの確実な配信が保証されます。
2. 従業員教育: メールなりすましに対する重要な防御策の一つは、なりすましメールの識別や不審な要求の確認に関する定期的なトレーニングを提供することです。可能性が低い通信であっても、その取り扱いに関するベストプラクティスを従業員に教育することは、ソーシャルエンジニアリング技術による損失への曝露を大幅に制限するのに大いに役立ちます。
3. アンチスパムおよびアンチウイルスソリューションの導入: 組織レベルで堅牢なアンチスパムおよびアンチウイルスソリューションを導入することで、悪意のあるメールがユーザーの受信箱に到達する前にブロックできます。これらのツールの多くは、メールなりすましの試みを検知し、被害を防ぐための様々な機能を備えています。&
4. システムとソフトウェアの更新: 定期的なセキュリティパッチは、攻撃者がなりすましを容易にするために悪用する可能性のある脆弱性を修正するために発行されるため、これによりメールなりすましの脆弱性を軽減できます。
5. メールトラフィックの監視: メールトラフィックを継続的に監視することで、異常なパターンを迅速に特定し、メールのなりすましを検知できます。高リスクな活動に対するアラートを設定し、メールログを分析して早期警告を発することで、メールなりすまし攻撃を迅速に軽減する対応が可能になります。

メールなりすましの実例

メールなりすましは、近年記憶に残る最も深刻なサイバー攻撃の原因となる、一般的なサイバー脅威です。実例研究は、メールなりすまし詐欺の手口や組織の対応策に関する貴重な知見を提供します。

以下に、注目すべきメールなりすましの事例とその結果をいくつか紹介します：

1. Booking.com フィッシング攻撃

2023年11月、Booking.comは、ユーザーを騙してクレジットカード情報を提供させることを目的としたメールフィッシングキャンペーンを調査中であると発表しました。攻撃はホテル従業員宛てに送信されたメールから始まり、情報窃取型マルウェアをホテルネットワークにダウンロードさせる悪意のあるリンクをクリックさせるよう誘導しました。標的を感染させた後、攻撃者は顧客データを抽出し、カスタマイズされたフィッシングメールの送信に利用しました。これらのメールは、侵害されたホテルや旅行代理店からの正当なリクエストを装っていました。lt;/a>をダウンロードさせる悪意のあるリンクをクリックさせるよう仕向けることから始まった。標的を感染させた後、攻撃者は顧客データを抽出し、カスタマイズされたフィッシングメール送信に利用した。これらのメールは、侵害されたホテルや旅行代理店からの正当な要求を装い、「追加のクレジットカード認証」を求めていた。

この複雑で多様な作戦では、過去の予約情報や顧客名など個別化された情報が強調されていた。この攻撃の複雑さはサイバー犯罪者の進化する手口を示し、リンクをクリックしたりオンラインで個人情報を共有する際の警戒の重要性を改めて認識させるものとなった。

2.Geek Squad ハイブリッド・ヴィッシング攻撃

2023年、電子メールのなりすましと「ヴィッシング」（音声フィッシング）を組み合わせたユニークな攻撃が登場しました。Geek Squad ハイブリッド・ヴィッシング攻撃では、サイバー犯罪者が偽の通知を送信し、Geek Squadサービスアカウントを不正利用したと主張する詐欺メールが、無防備な個人に送信されました。メールには問題解決のため被害者が連絡すべき電話番号が記載されていました。

しかし電話がつながると、狡猾な攻撃者は他の個人情報を引き出そうとしたり、不正な支払いを要求したりしました。この事件は、詐欺師たちが複数のチャネルを同時に活用して被害者を欺き、詐欺スキームの影響力を増幅させる手法をいかに巧妙に用いているかを示しています。

3. PayPalアカウント停止詐欺

PayPalを模倣した偽メールが顕著に増加しており、攻撃者は信頼できる決済プラットフォームから直接送信されたように見せかけるメッセージを作成しています。こうしたメールは、アカウント停止などの通知を装い、偽サイトへのリンクをクリックさせたり、ログイン認証情報などの個人情報を提供させようとします。

このため、PayPalはユーザーに対し警戒を呼びかけ、自社名やブランドを偽装したフィッシングメールに関する警告を頻繁に発信しています。結局のところ、この事例は「緊急を要する行動を求める連絡は、疑わしいメール内のリンクを安易にクリックせず、必ず公式組織サイトにアクセスして徹底的に検証すべき」という重要な教訓を示しています。

4. クレラン銀行を装った詐欺

2016年に発生した最も巧妙な攻撃の一つでは、悪意のある攻撃者がベルギーのクレラン銀行幹部名義を偽装したメールを送信し、7000万ユーロという巨額の不正送金を承認させました。不正なオフショア口座への不正送金を承認させた。巧妙なソーシャルエンジニアリングにより、財務部門の担当者にこの巨額取引が正当であると信じ込ませたのである。

この大規模な事件は、多層認証の導入と、すべての重要な金融取引に対する厳格な検証プロセスの実施がいかに重要かを浮き彫りにしている。

5.マテル社 300万ドル詐欺事件

2016年、玩具製造大手マテル社は、洗練された詐欺の被害に遭いました。メールなりすまし攻撃の被害に遭った。攻撃者はCEOを巧妙に装い、従業員に300万ドルを不正な取引のために送金するよう指示した。巨額の資金の大部分は回収されたものの、この事例は、適切な多層的な検証プロトコルが厳格に確立・遵守されない限り、最大手かつ最も認知された組織でさえ潜在的に脆弱であり得ることを浮き彫りにしている。

メールスプーフィング統計

電子メールのなりすましは、サイバー攻撃者が情報窃取を目的としたフィッシング攻撃を展開する上でこの脅威ベクトルに大きく依存しているため、今や企業にとって深刻な問題となっている。以下の統計は、毎日数百万件規模で発生している実態を示しています。

これらの憂慮すべき数値は、拡大するメールなりすましの脅威に対抗する上で、強固なメールセキュリティ対策が不可欠であることを浮き彫りにしています。

1. 報告書によると、毎日34億通のフィッシングメールが送信されており、その大半がメールなりすましを利用しています。これは世界的なフィッシングとなりすましの規模を明確に示すものです。
2. 組織の約88%が毎日スピアフィッシング攻撃に直面し続けており、その大半はシステムを欺きダウンさせるためのメールなりすましを介しています。
3. フィッシング攻撃の大半はメールなりすましを伴い、企業に平均約1分あたり約17,700ドルの損失をもたらしています。これはサイバー犯罪が経済から吸収する金額です。
4. 約63%の企業 は、フィッシングやスプーフィング攻撃に対抗するため、何らかのメールセキュリティ対策を既に導入しています。
5. COVID-19パンデミック後期にはフィッシング攻撃が最大220%増加し、主にメールなりすましによってパンデミックに伴う恐怖や緊急性を悪用していました。
6. マイクロソフトは2022年4月から2023年4月にかけて、計約3,500万件のビジネスメール詐欺（BEC）攻撃を検知・調査しました。これは世界中の組織に対する1日平均約156,000件の攻撃に相当します。&
7. 侵害されたメールは約19,369件のインシデントを引き起こし、18億ドルの損失につながりました。これは間違いなく、近年で最もコストのかかるフィッシングサイバー犯罪の一つと言えます。
Gmailのフィルターで遮断された約1億通のフィッシングメールのうち、68%が新規の手口であり、大半はスパムフィルター回避のため件名が空白でした。

2021年のデータ侵害1件あたりの平均コストが491万ドルに達した要因の一つは、フィッシングおよびメールなりすましであり、金融サービスと医療分野が最も頻繁に攻撃を受けたセクターでした。

結論

メールなりすましの仕組みとその危険性を理解することで、組織は機密データの保護、顧客の信頼維持、ステークホルダーとの関係構築を保証する強力なセキュリティ対策を積極的に講じることができます。具体的には、SPF、DKIM、DMARCといった強力なセキュリティプロトコルの導入、従業員へのなりすまし検知トレーニング、メールトラフィックの定期的な監視・分析が挙げられる。これらの対策により、組織はこの広範な脅威への曝露を最小限に抑えられる。

メールなりすましへの積極的な対策は、企業内の損失を防ぐだけでなく、組織内にサイバーセキュリティ意識の文化を醸成し、進化する現代のサイバー脅威に対する回復力を強化する。企業はサイバーセキュリティの専門家と連携し、最先端技術を活用することで攻撃者の一歩先を行く必要があります。メールスプーフィングやその他のサイバー脅威からの防御を次のレベルに引き上げるには、SentinelOne’s Singularity™ platform を試して、組織のセキュリティ態勢を強化してください。