こうした変化も相まって、メール経由の脅威はますます増加しています。
現在、日本で注目を集めている脅威はランサムウェアですが、手法はそれだけではありません。例えば、ビジネスメール詐欺(BEC)による被害額は、FBIによると、1件当たり約12万4000ドル(約1600万円相当)に上っています。警察庁も同様に、フィッシング詐欺が3年ぶりに増加し、不正送金の被害額も15億円を超えるとして注意を呼びかけています。
なぜメールがこれほど、攻撃者にとって効果的なツールになっているのでしょうか。それは、「なりすまし」が容易だからです。知り合いや取引先、いつも使っているサービスなどの名前をかたり、重要な要件であるかのように思わせてリンクをクリックさせ、フィッシングサイトや悪意あるサイトに誘導する手口は、アナログですが残念ながら効果的です。
メール詐欺には、大きく分けて2パターンあり、単に「なりすます」だけのメール詐欺と、メールのアカウントを実際に乗っ取られてしまう「なりかわる」詐欺があります。
後者のアカウントの乗っ取りである「なりかわる」詐欺を行うには、事前にIDとパスワードを盗み取ることが必要です。そのため、アカウントを乗っ取り「なりかわる」ために、まずは“なりすました”メールによるフィッシングで攻撃が始まることがしばしばです。つまり、なりすましメールは、メール経由の脅威や侵害の大きな大きな入口となっているのです。
なりすましを見破るには、相手の手法を知ることが重要です。現在主に使われているなりすまし方法は、大きく3つに分類できます。
1つ目は、メールの送信元として表示される「From」欄を偽装する「表示名の詐称」です。実際には攻撃者のメールアドレスから送られているにもかかわらず、メーラーやメールシステムで表示する表示名には、実在する知り合いやサービスのように見える表示名が表示される、比較的ローテクな手口です。
この方法に対しては、よく言われてきたことですが「メールアドレスをよく確認すること」といったリテラシーを高めるべく、教育・研修を実施することが有効です。
2つ目は「タイポスクワッティング」とも呼ばれる、よく似た偽のドメインを用いる方法です。ぱっと見ただけでは区別の付きにくい、正規のドメインに似たドメインを攻撃者が取得し、そこからなりすましメールを送る手口です。
本来のドメインでは「O」(オー)という文字を「0」(ゼロ)と表記するような方法が典型例で、ユーザーに対する教育・トレーニングのほか、正規ドメインの所有者から類似ドメインのテイクダウンを申し立てることで対処することになります。
3つ目は、「ドメインのなりすまし」(ドメインスプーフィング)で、日本のなりすましメールの約40%を占めるとも言われています。この場合、差出人欄にある表示名やメールアドレスをはじめ、ユーザーがメーラーから見ることができる情報は正規のものとまったく変わりがありません。
しかし、裏側に隠れている「ヘッダー情報」を詳細に見ていくと、実は攻撃者のメールアドレスから送られていることがわかります。似た手法として、返信先を攻撃者のメールアドレスに指定する「Reply-to詐欺」と呼ばれる手法が使われることもあります。
残念ながらドメインのなりすましに対しては、いくらユーザーに教育し、「疑わしいところがないか気を付けましょう」と意識してもらっても、そうそう見分けが付きません。そうした手口に対し、ドメインをなりすましたメールを完全にブロックすることができる技術が「DMARC」です。
さらにDMARCを厳しいレベルで運用した後に搭載することができる「BIMI」(後編でご紹介します)を実施することにより、ドメインなりすましだけでなく、表示名詐欺や類似ドメインも含めた、なりすましメール全般を見破るヒントを提供することができます。