最近、某運輸業者のメールアドレスで届いたメールから手続きを行ったところ偽サイトだったという話をチラホラ見かける。
だが、メーラーに表示されるメールアドレスは偽装が容易なので信用してはいけない。
メールアドレスの送信元について 🔗
皆さんの手元にも日々、企業からのメールが届いていると思う。
そして、そのメールの送信元が企業名になっていることが多いのでは無いかと思う。
この送信元を企業名等に変更する方法は実は簡単で、送信元メールアドレスを以下のように <> 内に記載し、その前方に企業名等を入れることで実現できる。
まるばつ運輸 <[email protected]>
例えば上記の、送信元メールアドレス まるばつ運輸 <[email protected]> で送信されたメールは、受信者には まるばつ運輸 と表示される。
メールアドレスの偽装 🔗
では実際のメールアドレスの偽装方法についてだが、先述のルールを理解していれば簡単で、送信元メールアドレスを [email protected] <[email protected]> のようにする。
そうすることで、 [email protected] が送信しているにも関わらず、 [email protected] が送信しているように見せかけることが出来る。
このような形式で送信されたメールもiOS版のGmailアプリでは送信元のメールアドレスの確認ができ、昨年受け取ったフィッシング詐欺に関する注意を促すメールは以下のように表示された。
フィッシング詐欺の対策 🔗
これでメールアドレスが信用出来ないことは理解できたと思うが、実際にフィッシング詐欺に引っかからないためにはどうすればいいだろうか。
一番簡単な方法は、アクセスしているサイトのアドレスバーの以下2点を確認することである。
- アクセスしているサイトのドメイン名が正しいこと(青線部)。
- 鍵マークが表示されていること(赤丸部)。
この2つの組み合わせは偽装することが難しいので、基本的には怪しいなと思ったらこの2つを確認する癖を付けると良い。
注意点としては、この2つを同時に成立させることが難しいのであって、
- アクセスしているサイトのドメイン名が正しくない (例: warui.neko.mapoyon.net)。
- 鍵マークが表示されている。
というパターンや
- アクセスしているサイトのドメイン名が正しい。
- 鍵マークが表示されない。
というパターンは成立させることが容易なので注意する。
その他 🔗
他にも攻撃手法は様々あるが、詳細を述べると長くなるので概要のみ。
- メールアドレスそのものを偽装することも可能だが、通常は送信ドメイン認証によってSMTPサーバーによって除外される。
- DNSスプーフィングによる偽サイトへの誘導は、TLSによって検証される。
- 国際化ドメインを利用した、制御文字や類似文字によるURL偽装はユーザー側での対応は難しい。