
なりすましメールとは
まずは、なりすましメールとはどのようなものか見ていきましょう。
第三者が利用者になりすまして送るメール
なりすましメールとは、第三者が利用者を装って(なりすまして)送るメールのことです。
このような「なりすまし」にはいくつか種類がありますが、本人確認ができない状況で第三者が特定の個人を装います。メールの場合は、特定の個人だけでなく組織になりすますこともあるでしょう。
なりすましにはアカウントを乗っ取られるケースもありますが、メールの場合はもっとシンプルなものが多いです。実際に初めてメールのやり取りをする相手であれば、メールに書かれている内容を信じてしまいやすいでしょう。
このようになりすましメールは不正アクセスされていない状況でも起こり得るため注意が必要です。実際に特定の企業名を謳った詐欺メールが増えており、詐欺被害は拡大しています。
会社の信用被害や個人の金銭被害が起こる
なりすましメールでは企業の信用被害や、個人の金銭被害が発生するため注意しなければなりません。
例えば、企業のメールアカウントを不正アクセスによって乗っ取られていれば、セキュリティ対策が万全とはいえないでしょう。このような企業が顧客の個人情報を多く保有していれば、顧客は安心できないため信用が損なわれてしまいます。
そのためにもメールのID・パスワードの管理を徹底するといった対策が必要です。また、不正アクセスだけでなくビジネスメール詐欺の被害も非常に増えています。近年では、詐欺メールの内容も巧妙化しており、見抜くことが難しくなっているでしょう。
個人宛に詐欺メールが届くこともあれば、企業へ詐欺のビジネスメールが送られてくるケースもあるため注意しなければなりません。普段使っているサイトから、未払いの連絡やサービスの更新といった内容の詐欺メールが届くことが多いです。
なりすましメールへのセキュリティ対策
つづいて、なりすましメールへのセキュリティ対策を見ていきましょう。
メールメッセージ:S/MIME・PGP/MIMEで対策
メールメッセージに関するセキュリティ対策を行うのであれば「S/MIME」「PGP/MIME」が有効でしょう。このS/MIME・PGP/MIMEによる対策はメールを暗号化し、その内容を守るといったものです。
メールの暗号化を行えば、内容の秘匿性が上がるだけでなく、送信先の信憑性も高くなるでしょう。また、メールの内容が改ざんされたかどうかも把握することが可能です。S/MIMEであれば電子証明書が発行されているため、本人が送信したものかわかりやすいでしょう。
ドメイン名とメールサーバ:SPF・DKIM・DMARCで対策
なりすましメールは、ドメイン名とメールサーバを確かめると見抜くことが可能です。その対策には「SPF」「DKIM」「DMARC」による方法があります。
- SPF
- SPFは「Sender Policy Framework」の略で、電子メールの送信元ドメインが偽物でないか検査します。送信元を偽ったなりすましメールができないよう、ドメインをDNSサーバに問い合わせることで認証が可能です。
- DKIM
- DKIMは「DomainKeys Identified Mail」の略で、送信ドメインを認証する技術の1つです。送信元のメールサーバが署名を行い、サーバに登録した鍵を使って受信側が検証を行います。
- DMARC
- DMARCは「Domain-based Message Authentication Reporting and Conformance」の略です。主にSPFやDKIMと一緒に使われ、認証を補強します。
送受信プロトコル:SMTPS・IMAPS・POPSで対策
送受信のプロトコルを理解して対策を行うことで、なりすましメールへの対策も可能です。プロトコルには「SMTPS」「IMAPS」「POPS」という3つの手順があります。この手順の中で暗号化やセキュリティ対策を行うことで、なりすましメールの被害を予防します。
- SMTPS
- SMTPSは「Simple Mail Transfer Protocol over SSL」の略であり、メールの送信を行う手順を意味するSMTPに、暗号化を行うSSL/TLSを組み合わせたプロトコルです。
- IMAPS
- IMAPSは「Internet Message Access Protocol over SSL」の略です。メールを受信する手順であり、メールをサーバに残す方式となります。
- POPS
- POPSは「POP over SSL」の略です。POPは「Post Office Protocol」のことで、メールを受信する手順になります。この方式でメールを受け取るとサーバにメールは残りません。
なりすましメールに対して適切な対策を講じよう!
メールセキュリティの脅威は多くありますが、特になりすましメールには注意しましょう。なりすましメールによって企業の信用度が下がったり、金銭的な被害を受けたりします。不正アクセスを受けアカウントが乗っ取られると、重大な情報漏えいに繋がるでしょう。
メッセージの暗号化や、ドメイン・プロトコルを認証することで対策できます。なりすましメールに対し、適切なセキュリティ対策を行いましょう。
