電子メールを開いたら、自分の電子メール アドレスから送信されたと思われるスパムまたは脅迫メールだったという経験はありませんか?あなたは一人じゃない。電子メール アドレスを偽ることはスプーフィングと呼ばれますが、残念ながら、これに対してできることはほとんどありません。
スパマーがあなたのメールアドレスを偽装する仕組み
なりすましとは メールアドレスを偽造する行為なので、 送信者以外からのメールのように見えます。多くの場合、なりすましは、電子メールが知り合い、または銀行やその他の金融サービスなどの取引先企業から送信されたものであると思わせるために使用されます。
残念ながら、電子メールのなりすましは信じられないほど簡単です。電子メール システムでは、「差出人」フィールドに入力した電子メール アドレスが本当に自分のものであることを確認するためのセキュリティ チェックが行われていないことがよくあります。それは郵便に入れる封筒によく似ています。郵便局が手紙を返送できないことを気にしない場合は、差出人住所の欄に何でも書いてかまいません。郵便局も、あなたが封筒に書いた差出人の住所に本当に住んでいるのかどうかを知る方法がありません。
電子メールの偽造も同様に機能します。 Outlook.com などの一部のオンライン サービスでは、電子メールを送信するときに差出人アドレスに注意を払い、偽のアドレスによる電子メールの送信を防止する場合があります。ただし、一部のツールでは、必要なものを何でも入力できます。独自の電子メール (SMTP) サーバーを作成するのと同じくらい簡単です。詐欺師が必要とするのはあなたのアドレスだけであり、多くのデータ侵害の 1 つからアドレスを購入できる可能性があります。
なぜ詐欺師はあなたのアドレスを偽装するのでしょうか?
詐欺師は、通常、次の 2 つの理由のいずれかで、あなたのアドレスから送信されたように見える電子メールを送信します。 1 つ目は、 スパム保護 を回避することを期待するものです。自分にメールを送信する場合は、何か重要なことを思い出そうとしている可能性が高く、そのメッセージがスパムとして分類されることを望まないでしょう。そのため、詐欺師はあなたのアドレスを使用することでスパム フィルターに気付かれず、メッセージが通過することを望んでいます。主張しているドメイン以外のドメインから送信されたメールを識別するツールは存在しますが、メール プロバイダーはそれらを実装する必要があり、残念ながら多くのプロバイダーは実装していません。
詐欺師があなたの電子メール アドレスを偽装する 2 番目の理由は、正当性の感覚を獲得することです。なりすましメールでアカウントが侵害されたと主張することは珍しいことではありません。 「このメールは自分に送信したものである」ということは、「ハッカー」のアクセスの証拠として機能します。さらなる証拠として、侵害されたデータベースから取得したパスワードや電話番号も含まれる場合があります。
詐欺師は通常、あなたに関する危険な情報や、Web カメラから撮影した写真を持っていると主張します。その後、身代金を支払わない限り、最も近い連絡先にデータを公開すると脅迫します。最初は信じられるかもしれませんが、結局のところ、彼らはあなたの電子メールアカウントにアクセスしているようです。しかし、重要なのはそこです――詐欺師は証拠を偽造しているのです。
問題に対処するために電子メール サービスが行うこと
返信用メール アドレスを誰でも簡単に偽装できるという事実は、新しい問題ではありません。また、電子メール プロバイダーはスパムでユーザーを困らせることを望んでいないため、この問題に対処するためのツールが開発されました。
1 つ目は Sender Policy Framework (SPF) で、いくつかの基本原則に従って機能します。すべての電子メール ドメインには、一連のドメイン ネーム システム (DNS) レコードが付属しており、トラフィックを正しいホスティング サーバーまたはコンピューターに転送するために使用されます。 SPF レコードは DNS レコードと連携します。電子メールを送信すると、受信サービスは指定されたドメイン アドレス (@gmail.com) を発信元 IP および SPF レコードと比較して、それらが一致することを確認します。 Gmail アドレスからメールを送信する場合、そのメールには Gmail で制御されているデバイスから送信されたことが示されている必要があります。
残念ながら、SPFだけでは問題は解決しません。誰かが各ドメインで SPF レコードを適切に管理する必要がありますが、常にそうなるとは限りません。詐欺師にとっても、この問題を回避するのは簡単です。電子メールを受信すると、電子メール アドレスではなく名前のみが表示される場合があります。スパマーは、1 つの電子メール アドレスに実際の名前を入力し、もう 1 つの電子メール アドレスに SPF レコードと一致する送信アドレスを入力します。したがって、スパムとして認識されることはなく、SPF としても認識されません。
企業は、SPF の結果をどうするかについても決定する必要があります。ほとんどの場合、システムが重要なメッセージを配信しないリスクを冒すよりも、電子メールを通過させることに落ち着きます。 SPF には、情報の取り扱いに関する一連のルールはありません。チェックの結果が提供されるだけです。
これらの問題に対処するために、Microsoft や Google などは、 ドメインベースのメッセージ認証、レポート、および適合性 (DMARC) 検証システムを導入しました。 SPF と連携して、スパムの可能性があるとしてフラグが付けられた電子メールをどのように扱うかに関するルールを作成します。 DMARC は最初に SPF スキャンをチェックします。これが失敗すると、管理者によって別の構成が設定されていない限り、メッセージの送信が停止されます。 SPF が合格した場合でも、DMARC は、「From:」フィールドに表示されている電子メール アドレスが電子メールの送信元ドメインと一致することを確認します (これをアラインメントと呼びます)。
残念ながら、Microsoft、Facebook、Google の支援があっても、DMARC はまだ広く使用されていません。 Outlook.com または Gmail.com のアドレスをお持ちの場合は、DMARC の恩恵を受けている可能性があります。しかし、 2017 年末までに 、フォーチュン 500 企業のうち検証サービスを導入していたのはわずか 39 社でした。
自己宛スパムに対してできること
残念ながら、スパマーによるアドレスのなりすましを防ぐ方法はありません。あなたが使用している電子メール システムが SPF と DMARC の両方を実装しているので、こうした標的型電子メールが表示されないことを願います。彼らはスパムに直接行くべきです。電子メール アカウントでスパム オプションを制御できる場合は、スパム オプションをより厳密にすることができます。正当なメッセージも失われる可能性があるので、スパム ボックスを頻繁にチェックするようにしてください。
自分自身からなりすましのメッセージを受け取った場合は、無視してください。添付ファイルやリンクをクリックしたり、要求された身代金を支払ったりしないでください。スパムまたは フィッシング としてマークするか、削除してください。アカウントが侵害されたのではないかと心配な場合は、安全のためにアカウントをロックしてください。パスワードを再利用する場合は、現在のパスワードを共有するすべてのサービスでパスワードをリセットし、それぞれに新しい一意のパスワードを割り当てます。あまりにも多くのパスワードを記憶していることに自信がない場合は、 パスワード マネージャー を使用することをお勧めします。
連絡先からなりすましメールを受信することが心配な場合は、時間をかけて メール ヘッダーの 読み方を学ぶのもよいでしょう。
