近年、実在する企業のメールアドレスを装った フィッシングメール が増加しています。
フィッシング被害は全国的に増加しており、フィッシング対策協議会でも注意喚起が行われています。特にAmazon、Apple、楽天などの有名企業を装ったメールが多く確認されています。これらのメールは、利用者を偽サイトへ誘導し、ID・パスワードやクレジットカード情報を盗み取ることを目的としています。
組織や個人がなりすまし攻撃の被害に遭うリスクを最小限に抑えるために講じるべき必要な対策について紹介します。
▮ メールアドレス偽装(スプーフィング)とは
メールは SMTP(メール送信の仕組み) により送信されますが、この仕組みでは差出人アドレスを比較的容易に偽装することができます。
そのため、表示上は「support@amazon.co.jp」のように 正規の企業メールアドレスに見える場合でも、実際には攻撃者が送信している可能性があります。
メール差出人アドレスは技術的に偽装できるため、差出人だけでメールの安全性を判断することはできません。
不審なメールを受信した場合は、以下に示す対応などをする必要があります。
- メールのリンクをクリックしない
- 公式サイトから直接確認する
次のようなメールには特に注意し、不審なメールのリンクはクリックしないでください。
- 緊急性を強調する内容 (例:アカウント停止、至急確認など)
- メール内のリンクが公式サイト以外のURL(ボタン含む)
- 不自然な日本語や不審な添付ファイル
▮ 被害防止のための対策
メール認証プロトコル: SPF、DKIM、DMARCなどのメール認証プロトコルを導入することが極めて重要です。これらの仕組みにより、メールの認証と偽装メッセージのブロックを通じて、送信者の存在・真正性・受信トレイへの確実な配信が保証されます。
| 認証プロトコル | 説 明 |
| SPF | 送信元のIPアドレスを確認します。 |
| DKIM | メッセージの完全性を検証します。 |
| DMAR | SPFとDKIMを統合し、包括的な保護を提供します。 |
▮ 関連情報
・スプーフィング攻撃とは(出典元:クラウドストライクHP)
・メール認証とは?プロトコル、設定方法、そしてその重要性(出典元:PowerDMARC HP)
・フィッシングから投資詐欺まで―日常に潜む詐欺の手口と見分け方(出典元:Canon HP)
