ここ最近、自分から自分への見に覚えのないメールが頻繁に届いているようです。迷惑メールに自動的に振り分けられれば、さほど気にしない方もいるかもしれませんが、「受信箱」に入ってきたら嫌な気分になりますね。。。

このようなメールは、「なりすましメール」と呼ばれ、特定のメールアドレスになりすまして送られてきます。

基本的には、メールを開封せず削除することが望ましいですが、開封した場合でも本文中のリンクや添付ファイルなどは絶対に開かないようにして下さい。

性質の異なる「なりすまし」と「乗っ取り」メール

なりすましメールが送れれてきたのか、メールが乗っ取られて送られてきたのかでは、少し事情が異なります。

[なりすましメール]と[のっとりメール]は似ているようで待ったく性質が異なりますので、まずはそれぞれの違いと特徴をみてみましょう。

なりすましメールとは?

なりすましメールとは、差出人のアドレスに本来のアドレスとは異なるアドレスを設定し、知り合いや有名企業などから届いたように装ったメールのこと。迷惑メールフィルターを迂回するために、受信者本人のメールアドレスや実在する別人のメールアドレスが使われることもある。なりすましメールには、詐欺まがいの勧誘や、本物そっくりのWebサイトに誘導して個人情報をだまし取るなどの目的がある。

用語集:KDDI株式会社より抜粋

メールには2つのFROMアドレスがあります。[Envelope-From]と[Header-From]の2種類です。

手紙が封筒に入れられて、宛先が書かれて送られるのと同様に、メールもエンベロープに書かれた宛先に基づき配信されます。エンベロープに格納されたメール自体の内容は、メールが送られている段階で、参照されることもなければ受信側でチェックされることもありません。

よって、「エンベロープに機作された宛先」と「メール本体に書かれた宛先」が異なっていてもメールが届く仕組みになっています。

この仕組みを悪用すると、「なるすましメール」が成立して悪質な内容のメールが配信されてしまうのです。

メールの乗っ取りとは?

メールの乗っ取りとは、アドレスやID、パスワードなどを不正に入手してメールアカウントに不正ログインすること。ログインすることで、登録されているメールアドレスなどに対して、スパムメールなどを配信します。

セキュリティナビより抜粋

メールが乗っ取られる原因はいくつかあります。

  • ID/パスワードの設定が簡単で突破されてしまった。
  • 辞書攻撃(よく使われるワードや辞書に載っている英単語を全て試す攻撃)によるパスワードの突破
  • ブルートフォース攻撃(あらゆる文字列でログインを片っ端から試す)
  • アドレス、ID、パスワードなどの情報が流出していた(アカウントリスト攻撃)

このように「なりすましメール」と「メールの乗っ取り」では性質が全く異なるので、それぞれの特徴をしっかり把握しておく必要があります。

メールヘッダーから送信元を確認する

まずは、メールの送信元をチェックしてみましょう。本当に自分が送ったのか送っていないのかを確認できます。

つまり、「乗っ取り」か「なりすまし」かを確認できます。

一般的にOutlookを使用されている方が多いので、Outlookで確認した情報をチェックしていきます。

ヘッダー情報を確認する

送られてきたメールが「なりすましメール」であるかは、メールの「ヘッダー」部分を確認することで分かります。

メールのヘッダー情報には、実に様々な情報が記載されていて、私たちがメールソフトで見る情報は表向きの情報で送られてくるメールのほんの一部分になることが分かります。

実際に抽出したメッセージヘッダーを見てみましょう。

抽出したメッセージヘッダー(一部抜粋)

封筒に入った手紙を連想すると分かりやすい

メールは大きく分けて、[Envelope][Message Header][Messaage body]の3つの部分に分けられます。

1通のメールを「封筒に入った手紙」に置き換えると分かりやすい方もいるかもしれません。

Envelopeは「封筒」を意味します。ここでいう、[Return-Path]はメールが届かなかった場合の「差し戻し先」をを意味します。封筒の裏に書かれている「差出人」です。

一方で、便箋に書かれた手紙文章は、[Message Header][Message body]に相当します。

「拝啓〇〇様 本文 △△より」

つまり、封筒に書かれている差出人と本文に書かれている差出人の名前が同一でなくても、宛先が同じであれば相手に届けることはメールでも封筒でも可能なのです。

[Return-Path]に注目

そこで、このメッセージヘッダーに記載されている、[Return-Path]に注目します。

[Return-Path]とはメールを配信した際、相手に届かなかった場合の戻り先を意味します。[Return-Path]に記載されているアドレスが「差出人のアドレスと同一であれば、本人のアカウントから送られている可能性があり、異なる場合は他人のアカウントから送られている」と、推測します。

Return-PathとFromを照らし合わせてみる

ただし、メールの挙動をシステム管理者が保守メンテナンスしている場合は、システム管理者のメールアドレス、メーリングリストの管理であれば、メーリングリストの管理者のメールアドレスが入っていることがあるので注意が必要です。

以上のことから、ここで特に注意が必要になるのは、[Return-Path]と[From]に記載されている、メールアドレスのドメインが全く関係のないものである場合です。

この場合は、なりすましメールである可能性が極めて高く、特に注意が必要です。

サーバ側で送信履歴が残っているにも関わらず、実際に送った記憶や記録がない場合は、メールアカウントが乗っ取られている場合があります。

その場合の対策については、状況によって異なるのでご相談下さい。

なりすましメールの対策はない

なりすましメールの対策については、非常に難しい部分があります。

メールアドレスがインターネット上になんらかな理由で公開されている以上は、存在自体が知られているため、悪用されてしまいます。

メールアドレスを管理しているサーバ等で「迷惑メール」の振り分け機能を強化したり、POP3の場合は、受信する際にチェックする機能をつけるなどの対策が必要です。

ただ、根本的な問題解決には至らないケースが多く、「受信ボックス」に入ってくるのを防ぎたい場合は、メールサーバを変更するのが一番です。

なお、最近の事例としては、さくらのレンタルサーバからGmailに変更することで、そういったメールが受信トレイに届かなくなったりました。

併せて、GSuiteの導入をご検討下さい。

GSuite関連の記事はこちらからチェック!

G Suiteの主要サービスの特徴とレビュー

教育機関のメール管理はGSuite一択である

さくらインターネットで発行したドメインを利用してGmailで送受信するための設定方法(ゾーン編集