• GIZMODO
  • FUZE
  • DIGIDAY
  • gene
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • roomie
  • machi-ya
  • GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie

ライフハッカー編集部  - ,,  08:00 PM

知り合いからスパムが届いた? なりすましメールの手口とその対策

知り合いからスパムが届いた? なりすましメールの手口とその対策

スパムメール、なりすまし


たいていの人は、スパムメールを見ればそれとわかります。でも、友人(もっとひどいケースでは自分自身)からおかしな文面のメールが送られてきたら、これはどうしたものかと思ってしまいますよね。友達から怪しいメールが来たように見えても、差出人に記されている人のアカウントがハッキングされたとは限りません。スパム業者は送信アドレスをごまかすケースが多く、しかも差出人欄をいじるのはそれほど難しくありません。この記事ではその手口と、対策を紹介します


スパム業者ははるか以前から電子メールの差出人アドレスをごまかしてきました。かつてはマルウェアに感染したPCから連絡先リストを盗み取る手法が主流でした。今では、データ泥棒はターゲットを慎重に見定め、友人や信頼できる情報筋、さらにはその人自身のアカウントから送られたように偽るメッセージなど、あの手この手でフィッシングを仕掛けます。

実際のところ、実在する電子メールアドレスを騙るのは驚くほど簡単です。これが、フィッシング詐欺が厄介な問題になっている一因でもあります。先日、システムエンジニアで、情報セキュリティの認証資格であるCISSPの取得を目指している米Lifehacker読者のマシューさんが、そのからくりを教えてくれました。さらにマシューさんはそれだけではなく、実際に米LHに寄稿しているライターのメールアドレスを装って、編集部にメールを送ってきたのです。これにはわれわれも驚かされました。確かにそういうことが可能なのは知っていましたし、これまでにスパムを受け取った経験もありますが、現実に怪しいメールが送られてくると、かなり動揺するものです。そこで編集部では、マシューさんにどうやってメールを送ったかを聞き、だまされないための対策についても教えてもらいました。


スパム業者が差出人アドレスをごまかす手口


140601_how-spammers-spoof-your-email-address_01.jpg


メールアドレスをごまかすために必要なツールは、驚くほど簡単に手に入ります。必要なのは稼働しているSMTPサーバー(要するに、メールを送信するためのサーバーです)と、この用途に利用可能なメールソフトウェアだけです。

ある程度のウェブホスティングサービスなら、どこもSMTPサーバーを提供しています(また、自前のシステムにSMTPをインストールすることもできます。メール送信に使われるポート25は、たいていのISPではブロックされています。これは2000年代前半によくあった、メールを大量送付するマルウェアを防ぐための措置です)。

米LHに偽メールを送る際に、マシューさんが使ったのは「PHP Mailer」というツールでした。使用方法もわかりやすく、インストールも簡単で、ご丁寧にウェブインターフェースまでついています。PHP Mailerを開き、メッセージを作成して、「差出人」と「宛先」のアドレスを入力すれば、あとは送信ボタンをクリックするだけです。受け取った側から見ると、受信トレイに届いたメールは、「差出人」欄に入力したアドレスからやってきたように見えます。このからくりを、当のマシューさんに説明してもらいましょう。

メールは問題なく届くはずですし、差出人欄に記されている人物から送られてきたように見えます。実際にはその人物が送ったメールではないのですが、送られてきたメールのソースコード(Gmailの場合は「メッセージのソースを表示」をクリック)[編集部注:上の画像を参照してください]を調べない限りは気づかないでしょう。

ヘッダを見れば、このメールがSPFチェックで「softfail」となっているのがわかりますが、それでもメールは受信トレイに入ってきています。もう1つ重要な点を指摘しておくと、ソースコードにはそのメールの発信源のIPアドレスが記載されています。そのため、受信した人がその気になれば、メールの出所の追跡も可能です。

これが重要なポイントなのですが、現時点でも、メールホストがSPFチェックで認証に成功しなかったメッセージをどう扱うかについては、標準的な処理方法が決まっていません。私がほとんどのテストを行ったGmailでは、認証に失敗したメールも受信トレイに送られます。一方、Outlook.comでは、「softfail」か「fail」かを問わず、SPFチェックで認証できなかったメールは受信トレイに入ってきません。私の会社のExchangeサーバーでは、何の問題もなく受信できました。自宅のサーバー(OS X)も受信はしましたが、「迷惑メール」の印がついていました。

マシューさんの説明はこれでほぼ全部です。LH編集部で詳しい説明を一部省きましたが、省略した箇所はそれほどたくさんはありません。ただし、このやりかたには大きな落とし穴があって、差出人を詐称したメッセージに「返信」ボタンを押して返事をした場合、その返信はどんなものであれ、詐称した人物ではなく、そのアドレスの「本来の」持ち主に送られます。しかしこの点は、データ泥棒にとって大きな問題ではありません。というのも、スパム業者やフィッシングを企む人たちが期待しているのは、メッセージを受け取った人がうっかりリンクをクリックしたり、添付ファイルを開けてしまったりすることだからです

SPFチェックがなぜこれほど甘いかとというと、ここには明確なトレードオフの関係があるからです。SPFチェックが本来意図されていたほど厳格に適用されていないからこそ、旅行に出かけた時や、新しいスマートフォンからメールを送るといった時に、自分のデバイスのIPアドレスをリストに登録し、アドレスが広まるまで24時間待つ、といった面倒なことをしないで済んでいるのです。とはいえ、このような状況ゆえに、フィッシングがいまだに大きな問題になっているのもまた事実です。何よりも良くないのは、差出人の詐称があまりに簡単なので、その気になれば誰でもできるという点です。


スパムメールの被害から自分を守るためにできること


140601how-spammers-spoof-your-email-address_02.jpg

Photo by Gwyneth Anne Bronwynne Jones.


では、こうしたなりすましスパムメッセージから自分の受信トレイを守るための対策を、以下に紹介しましょう。

  • スパムフィルターの判定度を上げ、「優先トレイ」などのツールを使うメールの送受信に使っているプロバイダーにもよりますが、スパムフィルターの警戒度を上げ、SPFチェックで認証に失敗したメールが受信トレイではなく、迷惑メールフォルダに入るように調整しましょう。同様に、Gmailの「優先トレイ」やアップルの「VIP」といった機能を使って、自分にとって重要度の高い送り手をメールサーバーに教えておく手もあります。ただし、こうした重要度の高い人物を騙って送られたメールは、受信トレイに届いてしまいます。
  • メッセージのヘッダから情報を読み取り、IPアドレスを追跡する:以前にもスパムの発信元の突き止める方法を解説した記事(英文記事)で紹介しましたが、これができるとかなり役に立ちます。このスキルがあれば、怪しいメールを受信しても、ヘッダを開き、差出人のIPアドレスを確認して、同じ人物から送られてきた以前のメールと同じかどうかを照合できます。さらに、逆に本当の送信者のIPアドレスから、送られてきた場所を調べることもできます。この情報が役に立つかどうかはケースバイケースですが、同じ街に住んでいるはずの友人から送られてきたメールの送信元がロシアだったら、(その人が旅行中でない限り)何かがおかしいと気づくでしょう。
  • 見慣れないリンクや添付ファイルには絶対に触らない:こんなことは言うまでもない話に思えるかもしせんが、会社では、たった1人の従業員が上司や会社の同僚から送られたように見えるメールの添付ファイルを開いたり、怪しげなGoogle Docsのリンクをクリックしただけで、社内ネットワークが丸ごと脅威にさらされてしまうのです。こんな手口に騙されるほどバカではないとたかをくくっている人は多いのに、こうした事件は後を絶ちません。受け取るメッセージには常に注意を払い、メールに記載されたリンクをクリックしてはいけません(メールに指示された内容を見たい場合は、記載されたリンクをクリックするのではなく、銀行やケーブルテレビなどのウェブサイトに直接行ってログインするようにしましょう)。また、具体的に受け取る予定があるものを除いて、メールの添付ファイルをダウンロードしてはいけません。コンピューターのマルウェア対策ソフトも常に最新の状態にしておきましょう。
  • メールを自分で管理している場合は、SPFやDMARCレコードへの対応を確認:ウェブのホスト先に問い合わせても良いのですが、この記事で紹介したなりすましの手法を使って自力で確かめるのもそれほど難しくはありません。それはちょっと、という人は、迷惑メールフォルダをチェックして、自分自身や知り合いからのメッセージが入っていないか確認してみましょう。問題がある場合はSMTPサーバーの設定変更を、ウェブのホスト先に依頼するか、あるいは「Google Apps for your Domain」などへのメールサービスの切り替えを検討してみてください。
  • 自分でドメインを所有している場合は、DMARCレコードをファイルする:マシューは、どこまで積極的に手を打つかはその人次第だとしながらも、DMARCレコードのファイル方法を良く研究して、自分のドメインネーム登録機関に従ってアップデートするよう勧めています。自力でやれるか心もとないという人も、こうした登録機関が助けてくれるはずです。会社のアカウントになりすましメールが届いている場合には、会社のIT担当部門に知らせましょう。DMARCレコードをファイルしていないのには何か理由があるかもしれません(マシューの場合も、担当部門から、会社のドメイン名を使って社外のサービスからメールを送る必要があるため、ファイルできないと断られたそうです。実はこの問題は簡単に解決可能なのですが、こうした考え方が、問題が収まらない一因になっています)。それでも、少なくとも知らせておく必要はあるはずです。

どんなケースにも当てはまりますが、セキュリティに関して一番脆弱な部分はエンドユーザーです。それだけに、身に覚えのない内容のメールを受け取った時には、必ず自分の警戒センサーを最高レベルに上げてチェックしましょう。知識を得ておくことも大切です。マルウェア対策ソフトは常に最新にしておきましょう。最後に、こうした問題に常に関心を持ち続けることが肝心です。スパムやフィシングとの戦いが続く中で、こうした詐欺の手口はますます巧妙化していくのですから。

Alan Henry(原文/訳:長谷睦/ガリレオ)
Photo by Shutterstock.

  • ,,,,, - By

    香川博人

    LIKE

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    Sponsored

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    2020年に向けて進むキャッシュレス化。 企業にとっての「電子決済」のメリットとは?

    先日、政府は2017年度から公共料金や備品経費の支払いを全面的に電子決済にすることで、30億円の人件費削減が期待できるという発表をしました。 電子マネーやクレジットカード、ネットバンキングの普及により、私たちは現金だけではなく、時間と手間のかからない電子決済を活用する機会が増えていますが、それは企業や法人にとっても大きなメリットがあるようです。 そこで今回、現金決済から電子決済へとキャッシュレス  05:00 PM

MORE FROM LIFEHACKER

powered by
    
    
    
  • ホーメル スパム レギュラーN 340g
  • ホーメル
  

Kotaku

Recommended

© mediagene Inc.