どうも、マルワの裏方あれこれ担当です。
今年最初の「清掃員スキリの事件簿(情報セキュリティ編)」は、日々大量にメールBOXに届く「なりすましメール」について。
実在する企業や取引先からの本物のメールのように偽装されているので、気付かずにメール内のリンクを開いたり、添付ファイルを開いたりしてしまいやすいく、なかなか厄介で危険な攻撃手段です。
ということで、今回のお話は「『そのメール、本当に開いて大丈夫?』フィッシングメールの罠」と題して、「実在企業や取引先からに見えるメールでも、必ず本当の送信元メールアドレスを確認し、安易にリンクや添付ファイルを開かないようにしましょう!」という内容です。
情報セキュリティ管理については、「インフォぷりん」というものも発行しております(コチラからお読みいただけます)。
―清掃員スキリの事件簿―
情報セキュリティ編 Vol.03 なりすましメールの罠
【ご注意】本ブログに掲載されている物語は、一般的な情報提供を目的としたフィクションです。登場する企業名、人物名、団体名などはすべて架空であり、実在の企業・人物・団体とは一切関係ありません。
【免責事項】
- 本コンテンツは、筆者原稿をもとに複数の生成AI(ChatGPT、Microsoft Copilot等)により編集・校閲したものです。また、イラストはAdobe社のPhotoshopの画像生成機能(Firefly)を活用して作成したものです。
- 本コンテンツは専門家監修ではないため、専門的知見や最新の法令に基づくことを保証するものではありません。内容の正確性には配慮していますが、実際の判断・対応は、必ず会社の規程および専門家の助言に基づき行ってください。
- 本コンテンツの利用により生じたいかなる損害についても、当社は一切の責任を負いかねますので、あらかじめご了承ください。
【登場人物】
スキリ: デジタルリスク管理のスペシャリストであるが、ある事情から現在は清掃員として働いている。豊富な知識と鋭い観察眼を持ち、社員からの信頼が厚い。本作の主人公。
ハヤカワ: 経理部長。穏やかな性格で、暗算が得意。
ウカリ: 経理部所属。部長からの信頼が厚い。今回のトラブルの当事者。
取引先からのメールだと思ったら……
日本の某所。××(ばつばつ)株式会社。
清掃員のスキリは、いつものように窓ガラスを丁寧に磨いていた。ふとガラスに映り込んだ経理部のウカリの様子が、どこか落ち着かないことに気づく。声にも不安が滲んでいた。
(PC画面を食い入るように見つめ、受話器を耳に当てている) ええ、間違いありません。30分前に、請求書の件でメールをいただいたかと……。
電話を終えたウカリに、経理部のハヤカワ部長が心配そうに声をかける
ウカリさん、どうしたの? 取引先と何かトラブルでもあった?
部長……それが……。〇〇商事さんから『請求書を確認してほしい』ってメールが来て、ここから確認してくださいと書かれていた本文のリンクを開いたんです。すると『ロボットではないことを確認する画面』が出て、よくわからない操作を求められて……。不安になって〇〇商事さんへ電話したら、『そんなメールは送っていない』と言われまして……。どういうことなんでしょう?
窓を拭く手を止めて経理部フロアにやってきたスキリが2人に声をかける。
ハヤカワ部長、ウカリさん、何かあったんですか?
スキリさん、ちょうどよかった。ちょっと見てもらえますか? 〇〇商事さんから届いたメールが、どうもおかしいみたいで……。
スキリはウカリのPCでメールを確認し、静かにうなずく。
なるほど……。これは典型的な『なりすましメール(ビジネスメール詐欺)』ですね。誰かが〇〇商事になりすましてこちらにメールを送ってきたのでしょう。
なりすまし……? でも、差出人名は確かに〇〇商事さんでしたよ?
差出人名の横(< >の中)や下などにあるメールアドレスの表記を見てください。〇〇商事さんの正規アドレスとは、まったく違うアドレスになっていますよね。これが “実際の送信元” です。差出人の表示名は、比較的簡単に偽装できてしまうのです。
実在する取引先や宅配業者、金融機関などを装ってメールを送り付け、受信者にリンクを開かせたり、添付ファイルを開かせたり、返信させたりする——そういう手口です。
でも……なぜ、そんなことを?
信頼できそうな相手を装えば、受信者は疑わずに行動しやすくなります。そうして偽サイト(フィッシングサイト)へ誘導し、個人情報やアカウント情報、金融機関情報などを盗む。あるいは、端末にマルウェア(ウイルスなど)を侵入させる——そのために偽装したメールを送り付けてくるのです。
今回、途中で操作を中止できたのは幸いでした。でも念のために、ウカリさんのPCはネットワークから切り離して、システム部に確認してもらいましょう。
なりすまし・フィッシングメールへの対策
しばらくして、スキリが経理部フロアへ戻ってくる。
検査の結果、ウカリさんのPCからマルウェアは検出されませんでした。念のため社内ネットワークの通信ログも確認してもらいましたが、怪しい形跡も見つかっていません。今回は大丈夫そうです。
ただし、リンク先によっては、脆弱性の悪用などにより感染につながる可能性もあります。リンク先を開いただけで必ず感染するわけではありませんが、安易に開かないことがベストです。
なりすましとかフィッシングとか……正直よくわからないけど、これは怖いですね。取引先の名前で来たら、私もリンクを開いてしまいそう。
大切なのは、まず手口を知ることです。そのうえで、取引先からのメールに見えても、安易にリンクや添付ファイルを開かないことが重要です。
最近では、企業の代表者(自社の社長など)の名前を騙り、『LINEのグループを作成してQRコードを返信して』と指示する手口も増えています。社長からのメールに見えても、指示に従って返信しないよう注意してください。
取引先や社長のメールまで疑うなんて……失礼な気もしますが……。なりすましメールって、見破る特徴はあるんですか?
“取引先や関係者からのメールだから疑わない”——そこを攻撃者は狙います。明らかに怪しいメールなら、リンクも開かず返信もせず削除しますよね。でも今回は、リンクを開いてしまった。つまり、巧妙だったということです。
ただ、よくある特徴はあります。たとえば次のようなものです。
- 差出人名と実際のメールアドレスが一致していない
- 緊急性・重要性を強調して焦らせる件名や内容
- アカウント情報・個人情報・金融機関情報の入力を要求する
- リンク先へのアクセスや添付ファイルの開封を促す
なるほど……そこを注意して確認するんですね。でも、忙しいときにそこまで確認できないかも……。
送信元やリンク先を確認しないまま開くのは、訪問者が名乗る名前だけ聞いて、姿を確認せず玄関を開けるのと同じです。宅配業者を名乗っていても、そこにいるのが犯罪者かもしれない。
『アカウント停止』『クレジットカードの不正利用』『請求書や支払いの確認』など、すぐ対応しないと大変だと思わせて急かしてきます。でも、そういうときほど落ち着いて、慎重に確認が必要です。
落ち着いて、リンクや添付ファイルを安易に開かない……。でも、もしメールが本物で、本当に重要だったら、開かなかったことで問題になりませんか?
気になる場合は、メールのリンクは開かずに、別途ブラウザから公式サイトへアクセスするか、公式アプリで確認してください。
メール本文中のリンクは、PCならクリックせずカーソルを合わせるとURLが表示されることがあります。その表示を正規サイトかどうかの確認に使うことはできますが、誤操作で開かないよう注意してください。
添付ファイルは、送り主が正規の相手だと確認できない限り、開かないのが基本です。万一開いてしまっても、操作を促されても実行せず閉じる、セキュリティ警告が出たらそこで止める——などで被害を食い止められる場合もありますが、完全に防げるわけではありません。
少しでもおかしいと思ったら、すぐにハヤカワ部長へ報告してください。
私たちだけじゃなく、他の人も騙されるかもしれないですね。会社として何か必要な対策があれば、今度の幹部会議で提案してみましょう。
そうですね。セキュリティ対策ソフトの設定の見直しでリスクを下げられることはあります。URLフィルタなどの設定も含め、確認しておくと良いでしょう。それと、フィッシング(なりすまし)メールに関する社員研修や注意喚起資料の配布も有効です。
わかりました。資料を作成することになったら、スキリさんにも協力してもらえると助かります。よろしくお願いします。
後日、臨時の幹部会議が開かれ、セキュリティソフト設定の見直し(URLフィルタの有効化など)、全社員向け研修の実施、研修に先立つ注意喚起資料の配布が指示された。
また、〇〇商事では、自社を名乗るなりすましメールが確認されたことを受け、メール送信ドメイン認証※が導入・設定された。
※「このメールは本当にこの企業(ドメイン)から送られたものか」を判断するための仕組みです。なりすましメールが送信された場合でも、受信側のメールシステムが「なりすましの可能性が高い」と判定しやすくなり、迷惑メールフォルダへ振り分けたり、受信拒否したりする助けになります。代表的な仕組みには、「SPF:正当な送信元(送信サーバー)から送られているかを確認する仕組み」「DKIM:メールが改ざんされていないこと、正当な送信者が署名していることを確認する仕組み」「DMARC:SPF/DKIMの結果をもとに、なりすまし疑いのメールをどう扱うか(隔離・拒否など)を定める仕組み」があります。
今回のトラブルを防ぐための三箇条
- 本当の送信元アドレスとドメイン(@より右側)を必ず確認! 差出人の表示名だけでなく、実際の送信元メールアドレスを確認しましょう(表示場所はメールソフトによって異なるため、お使いのソフトで確認してください)。
- リンクや添付ファイルの安易なクリックは厳禁! メール本文中のリンクや添付ファイルは、取引先からのメールに見えても安易に開かないこと。何らかの操作を要求されても実行しないよう徹底しましょう。
- 気になるときはメール以外の手段で確認! メール本文のリンクは開かず、別途ブラウザで公式サイトへアクセスする。金銭に関わる重要連絡は電話などで相手に直接確認する、などを徹底しましょう。
この後、スキリに次なるトラブルが待ち受けているのですが、それはまた別のお話で……
いかがでしたでしょうか?
フィッシングメールや偽サイトは巧妙に作られており、本物企業のロゴが使われていたり、送信元メールアドレスにも実在企業名が含まれていたりして、見分けが難しい場合があります。
取引先名や社長名のメールが届くと、「急いで返信しないと」と焦ってしまうかもしれません。
しかし、緊急性を煽る内容や金銭に関わる内容、個人情報の提供を求めるメールは特に慎重に真偽を確認し、少しでも不審に思ったらメール以外の方法で確認するか、周囲へ相談するようにしましょう。
ということで、今回の「清掃員スキリの事件簿」のBGMは、巧妙に人を欺くフィッシングメールにちなんで「黄金の七人(同名映画のテーマソング)」なんてどうでしょうか。
本日はこの辺で。
