IPA（独立行政法人情報処理推進機構）は、不審なメールについて、あらためて注意を呼びかけています。

 

増加する不審メール、その内容は

IPAの「情報セキュリティ安心相談窓口」には一般からの日々様々な相談が寄せられています。
その中でも不審メール、例えば、実在する組織をかたって、ユーザネーム/パスワード/アカウント情報（ID）/銀行口座の暗証番号/クレジットカード番号などの重要情報を詐取するフィッシング (Phishing)メール、広告など一方的に送り付けられる迷惑（スパム）メール、性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求するセクストーションメールなど、相談は増えるばかりです。

こうした不審メールの中には、表示名やメールアドレスなどの『送信元情報』を偽装し、企業や組織、金融機関の正式なメールに見せかけたものがあります。最近では、新型コロナウィルスに乗じて「『給付金10万配付につき、お客様の所在確認』などと騙るSNS、フィッシングメール等が出回り、個人情報の入力などを求める事例も報告されています。

注意をしていても「メールの『送信元情報』がいつも利用しているサービス名やメールアドレスであった為、URLをクリックしてサイトにアクセスし、情報を入力してしまった」という相談も少なくないのが現実です。
手口も巧妙化している為、一般ユーザがその情報を見て真偽の判断をすることは困難といえるでしょう。

IPAの「安心相談窓口だより」では、こうした偽装について事例を紹介し、対策を説明しています。

 

1．「送信元情報」の偽装例

メールに関する相談内容の多くは、ECサイト、カード会社、銀行等になりすました偽メールを不特定多数に送信して、偽サイトに誘導し、IDやパスワード、クレジットカード情報などを入力させるフィッシングの手口となっています。
このようなフィッシングメールは、受信者に本物のメールであると信じさせるために、「送信元情報」に様々な偽装を行っています。
下記は、Amazonになりすましたフィッシングメールの事例です。

 

「送信元情報」の表示名が「Amazon顧客サービス」、メールアドレスは正規のドメイン名である「amazon.co.jp」となっており、一見してAmazonからの本物のメールに見えます。
このように見かけ上の「送信元情報」を安易に信じてしまうと不審メールに騙されてしまいます。

メールの仕様上、図1における受信者が見ることのできる「見かけ上の送信元表示名」「見かけ上の送信元メールアドレス」は、メールソフトやメールサービスの設定にて、任意に登録して送信することができるのです。
このことから、メールソフトに表示される「送信元情報」を見て、メールの真偽を確認することは困難と覚えておく必要があります。

 

2．その他の事例

下記は「三井住友カード」「楽天市場」をかたるフィッシングメールの「送信元情報」です。
「送信元表示名」「送信元メールアドレス」が正規の内容に偽装されているため、騙されてしまいます。

図2：フィッシングメールの「送信元情報」が偽装されている事例
※赤下線部分が偽装されている「送信元情報」

下記は仮想通貨で金銭を要求する「セクストーションメール」の「送信元情報」ですが、「送信元メールアドレス」が自分のアドレスと同じ内容に偽装されていることがわかります。
そのため、あたかも自分のメールアカウントが乗っ取り被害にあっている不安を感じますが、実際はそうではありません。

図3：セクストーションメールの「送信元情報」が受信者に偽装されている事例
※赤下線部分が偽装されている「送信元情報」

 

3．メールをご利用する上での注意点

説明してきたように、送られてきたメールの「送信元情報」から、本物か偽物かを判断することは困難といえます。
そのため、真偽の判断は公式サイトなど確かな情報源を使って確認することをおススメします。
また、普段のやり取りがないにもかかわらず突然送られてきたメールや心当たりのない不審なメールについては、基本的に下記の対応をすることが望ましいでしょう。

■不審なメールへの対処法

• 添付ファイルを開かない
• 記載のURLからウェブサイトにアクセスしない
• 記載の電話番号に電話をしない
• 返信しない

 

『君子危うきに近寄らず』、これが不審メールへの対応には一番ではないでしょうか。

 

---

本内容は、IPA様の「安心相談窓口だより」の情報を元に作成しております。
ソース：https://www.ipa.go.jp/security/anshin/mgdayori20210921.html