偽メールの台頭: 偽メールを見分け、身を守る方法
偽メールの害を理解する前に、受信トレイで偽メールを見たときにそれを見分けられるようになることが重要です。
偽メールとは、基本的に受信者を欺く目的で送信される偽造または詐欺メールのことを指す。
その目的は偽メールの種類によって大きく異なり、金融詐欺のために個人情報や機密情報を探し出したり、受信者の端末にマルウェア(ウイルス)をインストールしたり、あるいは妙に魅力的な価格で商品を購入できる偽サイトに誘導したりすることもある。
偽メールを見破るには?
どの偽メールにも、いくつかの基本的な特徴があり、それを適切に観察することで、何らかの詐欺の被害からあなたを守ることができます。見てみましょう:
- 不審な送信者:送信者の名前に変な文字やスペルミスがないかチェックする。
- 非公式メール:公式ドメイン('gmail.com'など)を使用しないメール送信者、または'SafetiMaills.com' - 'SafetyMails.comの代わりに'、または'SafetyMails.Superdesconto.com'などの異なるスペルを使用するメール送信者に注意してください;
- 不適切な要求:Eメールは、パスワード、クレジットカード番号、銀行口座の詳細など、個人情報を決して要求すべきではありません;
- スペル: 当たり前のことのように思えますが、詐欺メールは通常、スペルの質を重視していません。例えば、件名や差出人の名前に大きな誤りがあるのが普通です;
- 短縮リンク:短縮サービス(bit.lyなど)を使ったハイパーリンクは、最終的なリンク先を隠している可能性があります。クリックしないでください。
- マスクされたリンク: 多くのハイパーリンクは単語の上に配置されています(完全なURLが見えない場所)。簡単にするには、ハイパーリンクの上にマウスポインタを置くだけです:リンク先のURLが表示され、信頼できるかどうかがわかります。
- 緊急性:緊急の問題として、すぐに行動を起こすよう求めるメールは疑わしい;
- 添付ファイル:添付ファイル付きのメールは危険です。政府機関、特に税務当局や電子商取引店は、添付ファイル付きのメールを決して送りません。送信者がよく知られていて信頼できる場合を除き、この種のファイルは開かないようにしましょう。
- 非現実的な約束:1,800ドルの商品が「特別ロット」で400ドルで提供されているのをご存知ですか?逃げましょう!
- デザインとフォーマット:この種のメールはたいてい、低品質の画像を使った貧弱なレイアウトで、有名なウェブサイトのように見せようとしていることが多い。
偽メールを見分けるコツをマスターしよう
偽メールを見破るには、もう少しスキルと技術的な知識が必要です。
サイトの公開日: 多くの偽販売サイトは、過剰な勧誘価格で商品を約束するが、詐欺のためだけに作られ、その後放棄される。売ったきり、連絡は来ない。そのため、あまりにも最近公開されたサイトには細心の注意を払ってください。
検索したいドメインを入力し、検索結果を見る。
電子メール認証: 電子メールプロバイダーが送受信するためには、メッセージはSPF、DKIM、DMARCなどの特定のセキュリティ認証を通過する必要があります。
どのウェブメールを使っても、これらの認証が機能し、電子メールに適切かどうかを調べることができる。
例えばGmailの場合、メッセージを開き、「プラス」アイコン(3つの点があるアイコン)を探して、メニューから「<> Show original(オリジナルを表示)」というオプションを探せばいい。
もちろん、認証が機能しているかどうかを確認する方法は、それぞれのウェブメールによって異なります。しかし、これを知っていることは、すでに黄金のヒントではないだろうか?
偽メールの種類
偽メールの見分け方と回避方法がわかったところで、次は受信トレイでよく見かける偽メールの種類をご紹介します。
フィッシング
これは、銀行やeコマース、テクノロジー企業など、正規の送信元から送られたEメールに見せかけたメッセージである。その目的は、パスワードやクレジットカード番号などの個人情報を入手することです。
多くの場合、この偽メールは、メッセージの信憑性を高めるために、受信者から公的に入手したデータ(例えば、ソーシャル・ネットワークから簡単に入手できる相手の名前、勤務先、役職など)で補足されている。
捕鯨
これはより手の込んだタイプのフィッシングで、企業の重役や意思決定者など、知名度の高い人物を狙ったものです。このタイプの偽メールは、法的な問題や重要な経営陣の問題について話そうとし、即座の返答を要求します。
例えば、延滞税、連邦収入、超法規的通知などに関するメッセージが含まれる。
詐欺
この偽メールは、受信者に金銭を送金させたり、偽のオファーにつながるリンクにアクセスさせたりすることで、詐取することを目的としています。通常、最初のアプローチの後、受信者が返信すると、詐欺師は機会について話し始め、報酬として大金を生み出す何らかのプロセスや手順を開始するための金銭を要求します。
マルウェア
これらのメールは、クリックされると悪意のあるソフトウェアをインストールするリンク付きのメッセージを大量に送信します:
- キーロガーを使って、機密情報(電子メールパスワード、銀行パスワードなど)を盗むために行われたすべてのキー入力を記録する;
- ランサムウェアは、受信者のデバイス(PC、ノートブック、スマートフォン、タブレットなど)上のファイルを暗号化し、その解放のために身代金を要求するソフトウェアの一種です。
スパム
おそらく偽メールの中で最も害の少ないタイプであるスパムメールは、通常は広告目的で、受信を依頼していない受信者に迷惑メッセージを大量に送信するものです。
しかし、マルウェアやフィッシングの手口を含んだスパムが届くケースもある。警戒を怠らないことが肝要である。
偽メールにはそれぞれ特徴や手口がありますが、受信者を欺くという目的は共通しています。
使い捨てメールは偽メールか?
原則として、使い捨てメール(または一時的なメール)は偽メールではありません。その主な目的は、破棄または削除されるまでの短期間、ユーザーにメールアカウントを持つ可能性を与えることだからです。
この種のメールの目的は以下の通りである:
- 一時的: 一定期間だけ存在するように設定されます
- 匿名:そのメールアドレスの後ろにいる人が誰なのかわからないし、作成に個人情報を必要としない。
- 利便性:すぐに、一度だけ使用するために素早く作成できる
一般的な用途は以下の通り:
- テストサービス:オンラインフォーラムやメールアドレスが公開される環境に登録するために使用される;
- スパムの防止:一度だけ使用することで、従来のメール認証プロセスを回避し、今後のメッセージの送信を防ぎます。
しかし、この種のメールは危険であり、次のような悪用の経路となる可能性がある:
- 悪用される可能性:セキュリティチェックを迂回したり、新規ユーザー限定のサービスに繰り返し登録したり、悪意のある匿名メッセージを送信したりするために不適切に使用される可能性がある
- 偽メール: eコマースサイトで偽クレジットカードとともに偽メールを使用することで、不正購入を追跡することが困難または不可能になります。
使い捨てメール登録を避けたい企業へのヒント
ランディングページやウェブサイトなどに登録する際に、使い捨てメールや一時的なメール、偽メールを避けたい場合は、SafetyMailsのリアルタイムメール検証APIをご利用ください。
今すぐ無料アカウントを開設して、機能をお試しください!
偽メールによる企業への被害
偽メールが個人に与える被害だけでなく、企業もまた、この種の悪意あるメッセージの行為によって、さまざまな面で被害を受けています。
金銭的な損失に始まり、詐欺師がregistro.brになりすまそうとした以下のケースのように、不注意な従業員が不正な請求書を支払ってしまうこともあります:
メールの送信者は明らかにregistro.brになりすまそうとしており、インターネットドメインの年会費を要求している。
留意点
- メールのレイアウトは明らかにregistro.brのものではありません
- 想定される請求金額が、通常支払われる金額よりもはるかに高額である
- 期日がメール送信日と同日である(緊急の支払いが必要である)
- 送信者が本物である可能性はない
2つ目の被害は、企業の評判に直接関係するものです。偽メールは、個人データや機密個人データの盗難、データベースの暗号化などにつながり、金銭的な損失、国家データ保護局へのデータ保護インシデントの報告、インシデントの公表を余儀なくされることになります。
こうしてビジネスの信頼性が揺らぎ、既存顧客との関係が損なわれ、新規顧客との関係やコンプライアンス分析に支障をきたす。このようなダメージは、回復するのに非常にコストがかかる。
問題の大きさによっては、規制当局から重い罰金を科されたり、訴訟費用が発生したりする可能性もある。
The third problem can be considered a mixture of the first two, as it involves the interruption of operations. When a fake email results in a successful attack, it can compromise vital systems, which will need to be shut down to mitigate problems. This potential business interruption can lead to financial losses and damage to customer relations, as well as requiring additional operating costs.
このため、企業がデータ保護とプライバシーに関する方針と行動の成熟に向けて、保護ソフトウェア、技術、慣行の採用、サプライヤーのマッピング、意識と安全な慣行(例えば、クリーンデスクポリシー、レベル分けされたアクセス、モバイルデバイスの管理、保護されたネットワークなど)に関するチームの絶え間ないトレーニングに絶えず取り組むことが極めて重要である。
偽メールと選挙:民主主義への脅威
選挙では、プロセスの完全性と透明性が不可欠である。結局のところ、私たちは国家の将来について話しているのだ。
社会が「フェイクニュース」について語るとき、それはしばしばソーシャルネットワークやWhatsappやTelegramのようなメッセージングアプリと密接に結びつけられる。しかし、SMS、電子メール、さらにはビラ配りさえも、この種の行為が実行されるチャンネルである。
デジタル領域では、偽メールは選挙に関して非常に破壊的なツールとなりうる。誰がターゲットになるかを知ることができるだけでなく、このコンテンツに関連した各人の行動を監視することも可能だからだ。
選挙プロセスにおける偽メールの弊害として、以下のものを挙げることができる:
- 偽情報の流布:悪意のある政治家や候補者、そのアドバイザーは、虚偽の告発から歪曲された選挙投票結果、投票所に関する誤った情報など、対立候補に関する偽情報を流布することがある。
- 世論の操作:この種の偽メールに、人々や選挙の世論調査に関する軽蔑的な情報や虚偽の情報を送り、陰謀説を広めることで、受信者に影響を与え、候補者に対する認識を変えさせ、投票意思の変化や、選挙プロセス全体の信用を失墜させることさえある。
- 選挙結果への影響:こうした偽メールの影響は、選挙の行方を変えてしまうほど甚大で、有権者の参加を妨げ、投票率に影響を与えることになりかねない。
偽メールとの戦い:新たなテクノロジー
明らかに、市場はこの脅威的なシナリオ全体を見て見ぬふりをしているわけではない。正反対だ。偽メールは何十年もの間、注意深く監視されてきた現象であり、多くのセキュリティ対策が採用されてきた。
そのいくつかを見てみよう:
- 堅牢な認証システム: DMARC、DKIM、SPFは、送信者が本人であることを確認し、電子メールが転送中に改ざんされていないことを保証するための電子メールセキュリティプロトコルです;
- 高度な電子メールフィルター:誰が、いつ、どのように、どれくらいの頻度で送信し、受信者がこれらの電子メールに対してどのような行動をとっているかを分析する、コンテキスト分析に基づくフィルターがあります。さらに、行動フィルターもあり、受信者の行動(メールをスパムとして報告したり、未読のまま削除するなど)を追跡し、プロバイダーのアルゴリズムがフィッシングに対する保護を改善するのに役立ちます;
- 人工知能:メールのテキストを分析し、大げさな緊急度、典型的な文法の間違い、その他の詐欺の兆候を分析する、高度な偽メール調査アルゴリズムを作成できるようになりつつあるシステム;
偽メール対策のポイント:トレーニングと情報提供
テクノロジーは人々の生活を便利にするためにある。しかし、テクノロジーがすべての仕事をすることはできない。人間の知性は、意思決定プロセスにおいて最も重要な要素でなければならない。
だからこそ、デジタル教育は増え続ける偽メールに対する強力な防御手段となるのだ。
学校で
スマートフォン、ソーシャルネットワーク、オンラインショッピング、デジタルカード、近接決済などだ。
幼い頃からインターネットの安全について教育する必要がある。これは、一般的なアンチウイルスの話だけでなく、パスワードの登録や使用、指紋の使用、特定の種類のウェブサイトにアクセスする際の注意などについても同様だ。
若者はソーシャル・ネットワークに接続するあまり、電子メールは時代遅れの技術だと思い込んでしまう。
各社
従業員は採用された瞬間から、仕事であれ個人であれ、電子メールアカウントの使用、偽メールから会社のインフラを保護すること、そしてそれらが引き起こす損害についてなど、プライバシーとデータ保護の現実を指導され、紹介されなければならない。
安全文化を創造する:
会社の全資産にマルウェア対策をインストールする
ワークショップとウェビナー:情報セキュリティと会社方針に関する最も基本的な内容のeラーニング環境を用意し、その後、リフレッシュの方法として、年に1回、チームメンバー全員を対象とした対面式または遠隔式のトレーニングを実施する;
明確なプライバシー、データ保護、情報セキュリティ・ポリシーの採用:問題を回避し、疑問やインシデントが発生した場合に何をすべきかのパラメーターを設定するための会社のすべてのガイドラインを含む公式文書で、全従業員が知っている;
偽メール対策チェックリスト
日々の実践を念頭に置いて、必要だと思われるときにいつでも使えるよう、簡単なチェックリストをまとめました。講義や研修など、お好きな場所でお使いください。
警告スコア: 0 | |||
送信者について | |||
知っていますか? |
|
そうでない場合は、調査すること | |
内容 | |||
文法の間違いは? |
|
もしそうなら、注意すること | |
切迫感が増したか? |
|
もしそうなら、注意すること | |
リンクの上にカーソルを置くと、奇妙に見えませんか? |
|
もしそうなら、注意すること | |
リンクに表示されるドメインと送信者のドメインは異なりますか? |
|
もしそうなら、注意すること | |
アタッチメント | |||
メールに添付ファイルはありますか? |
|
もしそうなら、送信者を確認してください! | |
電子メールの添付ファイルは要求されましたか? |
|
そうでない場合は、添付ファイルを開かないでください | |
セキュリティ | |||
アンチマルウェア(アンチウイルス)をインストールしていますか? |
|
添付ファイルを開かない | |
SPF、DKIM、DMARCをチェックしましたか? |
|
そうでない場合は、送信者についてまだ疑問があるかどうかを確認する | |
それでもまだ迷っているのか? |
|
その場合は、whatsappのメッセージや電話(知り合いであれば)など、別の確認手段を使うようにしてください。 | |
警告スコア: 0 |
アンチスパム、ベストプラクティス、人工知能、ユーザートレーニング、継続的なデジタル教育などのテクノロジーを活用し、偽メールについて教え、個人情報やビジネス情報を保護するためのより良いポリシーを推進する。