【メールなりすまし】偽装された送信元(差出人)メールアドレス:仕組みと対策

2020.11.30 /

【メールなりすまし】偽装された送信元(差出人)メールアドレス:仕組みと対策

コロナ禍の昨今、多くの悪意のあるメールが企業または個人に送信されており、たくさんの人たちが騙され社会問題になっています。

スパムメールなど多くの迷惑メールは年々巧妙さを増し、一目では偽物かどうかわからなくなっています。

そういった悪意あるメールの中でも、完全に送信元メールアドレスを偽装した「なりすまし」は、簡単に見破ることができません。

しかしどうして本人でないのに送信元メールアドレスを偽ることができるのか。

本記事では、なりすましメールの偽装された送信元アドレスの仕組みと対策について解説していきます。

ぜひみなさんが被害者にならないように、本記事を参考にしてください。

メールの仕組み

メールの構成

なりすましメールの仕組みを知るために、まずはメールの仕組みを知る必要があります。
電子メールは以下3つの構成から成り立っています。

  • Envelope(封筒)
  • Message Header(ヘッダー)
  • Message body(本文)

このメールの仕組みは「封筒」と「便箋(びんせん)」でよく例えられます。
便箋にはヘッダーと本文を記載して、封筒の中に便箋を入れて郵送します。

そして封筒にはEnvelope From(送信者情報)とEnvelope To(宛先情報)が記載されており、ヘッダーにはHeader From(送信者情報)とHeader To(宛先情報)が記載されています。

実は送信者(差出人)の情報は2か所に記載されています。

そして封筒を届けるSMTPサーバーは、相手に封筒を届ける際に封筒に記載されている情報を見ます。

言い換えると、封筒の情報さえ正しければメッセージは相手に届くということです。

SMTPサーバーとは

SMTP(Simple Mail Transfer Protocol)サーバとは、SMTP通信手順で電子メールのやりとりに必要なサーバーのこと

メールクライアント側(Outlookなど)の差出人

メールは封筒の情報を見て、メールを届けるということがわかりました。
そのためヘッダーの送信者(差出人)情報が封筒と異なっていても、封筒が正しければメッセージは届いてしまうということです。

では、メールクライアント側(OUTLOOKなど)のソフトでは、どこを見て差出人を表示しているのでしょうか。

実はヘッダーの送信者(差出人)情報を表示しています。

メール送信者はサーバー等からヘッダー情報を変更してメールを送ることができます。

用語 説明
Envelope From Envelope(封筒)に記載されている送信者(差出人)情報。正しいものが記載されていないとメールは送信されない。メールクライアント側(OUTLOOKなど)で表示される差出人と異なる場合がある
Envelope To Envelope(封筒)に記載されている宛先情報。正しいものが記載されていないとメールは送信されない
Header From Header(ヘッダー)に記載される送信者(差出人)情報。情報が正しくなくても送信可能
Header To Header(ヘッダー)に記載される宛先情報。情報が正しくなくても送信可能

もうすでに「なりすましメール」の仕組みに気づいた方も多いでしょう。
気づいた人も含めて、次はなりすましメールについて見ていきましょう。

なりすましメール

なりすましメールとは

なりすましメールとは、悪意ある企業または個人が別の人物または企業のふりをしてメールを送信することです。

これはメール受信者から情報を盗むため、悪意あるサイトへ誘導するため、または偽の情報を与えるために使われます。

私が経験した事例では、Aさんは振込先変更のメールを受信し、振り込みを予定していた多額のお金をその変更先の口座に振り込みました。
しかし実はそのメールは全くの偽物であり、振込先変更のメールは悪意ある物からの「なりすましメール」だったのです。

「問題が発生したため、以下の口座に振り込みをお願いします」といったメールを受信したら、まずは疑った方がいいでしょう。

こういった事件が多くの企業で発生しており、今では社会問題となっています。

なりすましメールの仕組み

ではなぜAさんは騙されてしまったのか。
それは「送信者(宛先)」が本物の取引先のメールアドレスだったからです。

これは前述している、「Header Fromの送信者(宛先)情報が正しくなくても送信できる」というメールの脆弱性をついた手法です。

サーバーから直接メールを送信する場合、Envelope FromとHeader Fromを異なる情報で送信可能なのです。

攻撃者はヘッダーの情報を改ざんし、取引先のメールアドレスになりすましてAさんに振込先変更メールを送っていたのです。

SMTP通信において、ヘッダーはメール本文と同様に使われていないので、偽装が許されているのです。

なりすましメールの対策

メールアドレスを確認する

多くの人が毎日受信するようなスパムメールであれば、大抵メールアドレスを見ればなりすましメールか判別ができます。

Microsoft Office365やAmazon等を偽っているスパムメールでは、ドメインが@amazon.co.jpではない異なるドメインを使っているからです。

またヘッダーを改ざんして、あたかも本物の取引先であるように偽っている場合でも、メールアドレスをしっかり確認してみてください。

ここで確認するのはCCです。
私が経験した事例だと、メールがCCの受信者に届かないように、CCのアドレスが微妙に変更されていました。
pがqであったり、I(アイ)がl(エル)になっていたりします。

少しでもおかしいと感じたら、CCのアドレス確認もしてください。

リンクや添付ファイルは開かない

リンクや添付ファイルは安易に開いては絶対にダメです。
開いた瞬間にウイルスに感染する可能性もあります。

少しでも怪しいと感じたら、社内に情報システム部があればその人たちに、いなければ詳しい人に聞くか、メール送信者に直接電話をして確認してください。

直接電話をする

これが一番の方法です。
振込口座変更の連絡や、連絡先の変更など少しでも怪しいと感じるメールがきたら、その送信者に電話で連絡を取って問い合わせしてください。

攻撃者もさすがに電話までなりすましすることはできないので、これが一番のなりすましから自身を守る方法です。

OUTLOOK:送信者の情報(Envelope)を確認する

ここではなりすましメールの送信者情報である、送信元サーバまたはプロバイダーなどの情報を確認する方法を解説します。

ここで使用するメールクライアントソフトはOUTLOOKです。

OUTLOOKではEnvelope情報は「インターネットヘッダー」から見ることができます。

インターネットヘッダーには、送信者から受信者までに通過したメールサーバーの一覧が表示されます。
そこをたどって送信元サーバーやプロバイダー情報を探し出します。

インターネットヘッダーを表示する手順は、以下に示します。

  1. OUTLOOKを起動し、対象のメールを開く
  2. メニューから「ファイル」をクリック
    3. OUTLOOK:メニューからファイルをクリック
  3. 右ペインから「プロパティ」を選択
    4. OUTLOOK:プロパティを選択
  4. 表示されたプロパティに「インターネットヘッダー」があります
    5. OUTLOOK:インターネットヘッダーの表示

インターネットヘッダーが表示できたら、複数ある「Received」情報のうち、一番下の「Received」を確認します。

Received: from 送信元サーバ([xxx.xxx.xxx.xxx]) by 中継サーバ for メールアドレス

ここから送信元サーバがわかります。サーバ名にはプロバイダーや会社名が記載されている場合があります。

もしくはxxx.xxx.xxx.xxxに記載されているIPアドレスからプロバイダー情報を得ることができます。

WHOIS Gateway

ドメイン名・IPアドレス検索 (ANSI Whois)

まとめ

偽装された送信元メールアドレスの仕組みと対策はいかがでしたか。

「なりすましメール」に騙されないためにも社内ルールを徹底すること、どういった「なりすましメール」があるかの周知をぜひ行ってください。

もしお客様で自社のスタッフになりすましたメールで被害にあってしまった場合は、Envelope情報からまずは自社スタッフが送信したメールでないことを証明しましょう。

コロナだけでなく、様々な脅威がそこら中に存在しますので、十分に注意してください。