御社は大丈夫?なりすましメールの危険性と対応策
最近、フィッシングメールがよく来ます。
中身的には、某レンタルサーバのアカウント管理チームを名乗って、
「あなたのアカウントに異常が検知されたので、直ぐに下記の管理者URLにログインして内容を確認してください。確認が完了しないとメールの送受信が停止されます」
といった内容のものです。
もちろん、そのメッセージも管理者URLも全て偽物なので、入力したら最後、大切なIDとパスワードを差し出してしまうことになります。決して入力してはいけません。
メールの差出人は実際に存在するレンタルサーバ会社のものに偽装されていて、一見分かり難いのですが、よく見ると一般企業のドメイン・メールアドレスを踏み台に利用して送信されていることが分かりました。
踏み台にされていると思しき企業は、具体的な名前は出しませんが、司法書士事務所、工務店、食品製造業など、バラエティに富んでいます。
踏み台にされていることにも気づいていないかもしれませんので、とりあえず、JPCERT/CCに通報しています。自分から直接教えてあげるとかえって怪しまれるかもしれませんので。
この記事の目次
踏み台にされると、被害者から加害者へなってしまう
踏み台にされてしまうことのリスクは二つあります。
ひとつは、「メールサーバを踏み台にされた被害者」ではなく、「フィッシングメールを配信する加害者」になってしまうこということです。
もう一つは風評被害です。
踏み台にされるということは、セキュリティ意識が低いと認識されてしまいます。私が受け取った司法書士事務所や工務店は、恐らくWEB制作会社にメールやWEB管理を丸投げしており、結局はそのWEB制作会社のレベルが低いということになるのでしょうが、いずれにしても、取引したくはありません。
特に個人情報を扱う業態であれば、情報セキュリティにも細心の注意を払わなくてはなりません。
踏み台にされないための対策
メールサーバが踏み台にされないための対策はいくつかあります。
メール送信サーバは、SMTPサーバとも呼ばれ、MTAとよばれるソフトウェアが利用されています。代表的なものにpostfixやqmailなどがあります。多くのレンタルサーバではこれらのMTAが稼働しています。
多くのレンタルサーバ会社では、踏み台にされないために、MTAが初期状態で利用する25番ポートを閉じてSMTP認証を強制する、POP befor SMTPを利用する、といった対策が取られています。
そういった対策が取られていないダダ漏れのレンタルサーバは使わないように気を付けましょう。
よく分からない場合は、WEB制作会社に一声、「メールサーバが踏み台にされないように対策をお願いします」と伝えるだけでもよいです。
ただし、メールのアカウント情報(アドレスとそれに対応するパスワード)自体が盗まれてしまうと意味がありませんので、強力なパスワードを使用するなどの対策が必要となります。ちなみにGoogleのGsuiteや、MicrosoftのOffice365は多要素認証も有効に出来るので、比較的安全です。
それでも踏み台にされてしまった場合は、いち早くそれを知り、素早く対策を取る必要があります。
なので、定期的にログのチェックも行いましょう。ログチェックとまではいかなくても、レンタルサーバサービスによっては、メールの送信件数をグラフで把握する機能もあったりするので、送信数が突出した日がないかをチェックすることも容易です。そこまで手が回らない場合は、外部のセキュリティ支援サービスなどを利用するのもよいでしょう。
いずれにしても、踏み台にされることは事業を継続する上での脅威になりますので、キチンと対応しておく必要があります。
フィッシングメールに引っかからないための自衛手段
次はフィッシングメールに引っかからないための対策です。届いてしまうものは仕方がありませんので、自衛するしかありません。
フィッシングメールに引っかかってしまうと、IDとパスワードが盗まれたりします。IDとパスワードが盗まれることについての危険性は言うまでもありません。
以下に述べるポイントに注意し、引っかからないようにしましょう。
怪しい日本語に注意
まずは怪しい日本語に注意しましょう。明らかにネイティブの書き方でない、とか、機械翻訳っぽい場合は要注意です。
実際に私が受け取ったメールの文面は以下になります(一部改変)。
こんにちは XXXX(私のメールアドレス)
XXXXのアカウントへの最近のサインインについて、異常な何かが検出されました。
あなたがする必要があるのは下のボタンをクリックすることだけです(それはほんの数秒かかります)。
あなたはあなたの個人情報の確認を求められることはありません。私たちはあなたのアカウントの所有権を確認するだけです。http://XXXXXXXXXX(フィッシング用のアドレス)
アカウントを確認しない場合は、確認が完了するまでウェブメールを保留にします。
〇〇〇の客になってくれてありがとう。
全体的にうさん臭いです。いかにも機械翻訳ですね。「異常な何か」って何だよ、もっとはっきり言ってよ、と突っ込みたくなります。
ただし、今後はもっと翻訳精度があがったり、日本語ネイティブの人が添削したりするケースも考えられるので、うさん臭さだけではなく、次に述べることにも留意しましょう。
差出人の名前と送信メールアドレスのドメインを比較
差出人の名前は、表示上はレンタルサーバ会社の「アカウント管理チーム」だったりするのですが、実際のメールアドレスの詳細を見てみると、差出人とは関係のなさそうなドメインだったりします。
この時点で明らかなスパムなので、迷惑メール行きで問題ありません。
ちなみに、送信者のドメインのWEBサイトにアクセスしてみると、冒頭で書いた司法書士事務所や工務店などの普通の企業だったりします。
添付されたURLが本物かどうかチェックする
これは普段から気を付けましょう。怪しいリンクは踏まないというのは鉄則ですが、あの手この手でクリックさせようとしてきます。
HTML形式でメールを受信していると偽装に気づきにくくなります。というのも、HTML形式の場合だと、表示されているURLと、実際のURLを異なるものに指定することが出来るからです。
例えば以下のような感じです。
表示される文字列はyahooですが、実際はs-jsd.comにリンクしています。
また、リンク先のURLも、https://XXXXXXX.co/jp/mail といったように、一見co.jpドメインに見えるように偽装したりしていますが、このドメインはよく見ると「.co」で、コロンビアのドメインになります。地域の縛りなく、誰でも取得出来るドメインで、スパム業者もよく使います。
URLをキチンと見分けるために、メールはHTML形式を利用せず、テキスト形式で送受信するようにしましょう。
まとめ
メールに限らず、便利なものには危険性が伴います。
危険を避けるためには、「それを利用しない」のが一番の自衛手段となりますが、それだと利便性が損なわれるので、「危険を認識しつつ利用する」のが重要になります。「メールを利用しない」のはもはや選択肢としてあり得ません。
しかし、「自動車の危険性と利便性」のように物理的に分かりやすいものと違い、デジタル情報は目に見えない分、その危険性がイメージし難いのも事実です。「危険を認識しつつ」の部分が難しい面もあります。
メールの危険性については、「誤送信」などの運用である程度回避出来るものの他にも、今回挙げた「なりすまし」、広い意味で言えば「乗っ取り」も危険性が高いです。被害にあっても物が減ったりしない分、被害者が気付きにくいのも厄介です。
クラックする人は、仕組みの穴をついて攻撃してきます。どんな「仕組みの穴」があるのか、自前でキャッチアップするのは大変ですので、心配な場合は外部の専門家に相談するなどの対応をお勧めしています。
ITと経営に関するお悩みはありませんか?
お一人で悩まれずに、些細なことだと思われることであっても、お気軽にご相談ください。
もちろん、お問い合わせメールへは無料で対応いたします。