Written by 夏野ゆきか
目 次
メール詐欺とは、メールを利用して個人情報を盗んだり、金銭を不正に取得したりする詐欺行為です。
ビジネスシーンでメールを利用する機会は多いため、企業・組織においては、メール詐欺への対策が欠かせません。
本記事では、メール詐欺の手口や有効な対策を解説します。
▼本記事でわかること
- メール詐欺の特徴
- メール詐欺の種類
- メール詐欺による被害リスク
- メール詐欺への対策
また、本記事では、メール詐欺の対策に有効な、NDR「Darktrace(ダークトレース)」も紹介します。
セキュリティ強化を目指す企業・組織の方はぜひご確認ください。
メール詐欺とは
メール詐欺は、メールを利用して個人情報を盗んだり、金銭を不正に取得したりする犯罪行為です。
代表的な手口としては以下が挙げられます。
- フィッシング詐欺
- ビジネスメール詐欺(BEC)
- ウイルスメール
- なりすましメール
- スパムメール
- 標的型攻撃メール
メール詐欺の具体的な手口の例として、攻撃者が取引先になりすまして被害者に「偽の請求書」をメール送付し、不正な口座振込を促すケースが挙げられます。
そのほかにも、大手ECサイトを装って「アカウントのパスワード変更」といった内容のメールを送り、攻撃者が作成した偽サイトに誘導し、ログイン情報を入力させ、個人情報やクレジットカード情報などを盗み取るといった手口も報告されています。
近年のメール詐欺の動向
近年、メール詐欺による被害件数は増加傾向にあります。
フィッシング対策協議会が公表した「フィッシング報告状況と対策」によると、2024年に報告されたフィッシング詐欺の件数は171万8,036件にのぼり、2023年の119万6,390件から40%以上も増加し、過去最多を記録しました。
▼フィッシング報告件数の推移 (年別)
※フィッシング対策協議会の情報をもとにエムオーテックスで作成
また2016年6月から2021年12月までに、米国のインターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)に報告されたビジネスメール詐欺は、被害件数が全米50州と177か国で241,206件、被害総額は未遂を含めて約433億米ドルにのぼります。
ビジネスメール詐欺における被害額は、下のグラフに示す通り2016年以降、増加傾向となっています。
出典:IPA|ビジネスメール詐欺(BEC)の特徴と対策(2022年9月28日)
これらのデータからも、メール詐欺は依然として深刻な問題であることがわかります。
メール詐欺の被害を防ぐためには、企業全体でのセキュリティ意識の向上と適切な対策が必要不可欠です。
メール詐欺の特徴
多くのメール詐欺には、共通して以下のような特徴が見られます。
- 信頼できる組織や個人を装っている
- 不安を煽るような内容になっている
- リンクや添付ファイルを開くよう誘導している
- 個人情報を要求してくる
- 不自然な文法や誤字脱字が見られる
これらの特徴にひとつでも当てはまれば、「詐欺」の可能性があるため要注意です。
メール詐欺の特徴を詳しく確認していきましょう。
信頼できる組織や個人を装っている
メール詐欺の多くは、取引先や銀行、政府機関など、信頼性が高い組織や個人を装って送信されます。
これは、取引先や大手企業、公共機関は信頼できるといった、ユーザー心理を巧みに悪用した手口です。
また、電子メールは受信者から見える「送信元名称」や「送信元メールアドレス」を変更することが容易なため、実在する企業になりすまして、メールを送ることが可能です。
表示された名称やメールアドレスのみを信用してしまうと、詐欺の被害に遭う可能性が高まるでしょう。
出典:警察庁|フィッシング対策
不安を煽るような内容になっている
詐欺メールは、アカウントの凍結や未払いの請求など、緊急性を感じさせる内容でユーザーの不安をあおる特徴があります。
不安を煽る内容のメールが届くと、焦る気持ちから、冷静さを保てずにリンクや添付ファイルを開封してしまう可能性が高まるでしょう。
リンクや添付ファイルを開くよう誘導している
詐欺メールは、偽サイトへのリンクや、マルウェアが仕込まれた添付ファイルが含まれているケースが多いです。
ユーザーがこれらのリンクをクリックしたり、添付ファイルを開いたりすると、個人情報の窃取やマルウェアへの感染がおこなわれてしまいます。
個人情報を要求してくる
メール詐欺の主な目的は、アカウントへの認証情報やクレジットカード情報など、価値ある個人情報を入手することにあります。
そのため、メール本文に、情報入力を促すような内容が含まれているケースが多いです。
不自然な文法や誤字脱字が見られる
詐欺メールには、誤字脱字が多い・普段使用されない漢字(繁体字、簡体字など)が用いられているといった特徴もあります。
とくに、海外の詐欺グループが関与している場合、自動翻訳ソフトを使用しているため、文章が不自然になる傾向があります。
▼宛名表記がおかしいフィッシング詐欺メールの例
出典:警察庁|フィッシング110番
代表的なメール詐欺の種類
代表的なメール詐欺の種類としては、以下が挙げられます。
- フィッシング詐欺
- ビジネスメール詐欺(BEC)
- ウイルスメール
- なりすましメール
- スパムメール
- 標的型攻撃メール
6つのメール詐欺の種類を詳しく解説します。
フィッシング詐欺
フィッシング詐欺とは、送信者を偽った「電子メール」や正規のサイトと酷似した「偽サイト」などを悪用し、個人情報を盗み出す詐欺手口のことです。
攻撃者は有名サービスや企業を装って、ユーザーに「偽サイト」へ誘導するメールやSMSを送り、ユーザーにサイトへ個人情報を入力させることで、その情報を盗みます。
フィッシング詐欺の手口は年々巧妙になっており、電子メールの内容や接続先の偽サイトのデザインなども、正規のものと区別がつかないようになっています。
▼「大手通販サイト」を模したフィッシング詐欺の例
出典:IPA|URLリンクへのアクセスに注意(2021年8月31日)
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC)は、取引先企業や自社の経営陣になりすまし、偽のビジネスメールを送信して詐欺行為をするサイバー攻撃です。
ビジネスメール詐欺の代表的な手口は、以下の通りです。
- 攻撃者が取引先の担当者になりすまして偽の請求書を送り、不正入金を促す
- 攻撃者が自組織の経営者になりすまして財務・経理部の従業員にメールを送り、不正入金を促す
▼取引先になりすました「ビジネスメール詐欺」の例
出典:大阪府警察庁|ビジネスメール詐欺の被害にご注意!
ウイルスメール
ウイルスメールは、添付ファイルやリンクを通じてマルウェアを拡散することを目的とした詐欺メールです。
一見無害に見える内容で受信者を騙し、ファイルの開封やリンクのクリックへ誘導します。
ウイルスメールに添付されたファイルやリンクをクリックしてしまうと、パソコンやタブレット、スマートフォンなどのデバイスがウイルスに感染したり、システムが破壊されたりする恐れがあります。
なりすましメール
なりすましメールは、信頼できる組織や個人を装って送られる悪意のあるメールです。
フィッシング詐欺、ビジネスメール詐欺などの手口で利用されます。
たとえば、有名企業や公共機関を名乗ってメールを送ったり、本物そっくりの企業ロゴを使用して、ユーザーにメールを送ったりします。
スパムメール
スパムメールは、不特定多数に大量に送信される迷惑メールです。
多くの場合は宣伝や広告目的に送信されますが、中には詐欺的な内容を含むものもあり、金銭的な被害につながる恐れもあります。
標的型攻撃メール
標的型攻撃メールは、特定の個人や組織を「標的(ターゲット)」とし、不正なファイルやURLを含んだメールを送り付けて、企業や組織の情報資産を盗み取ろうとするサイバー攻撃です。
あらかじめ標的を徹底的に調査し、念入りな計画と巧妙なメール文書を用いて仕掛けられます。
▼標的型攻撃メールのイメージ
出典:総務省│標的型攻撃への対策
また、一般的なスパムメールよりも巧妙な手口が用いられるため、感染後も実害が起きるまで気が付きづらく、被害の規模が大きくなりやすいといった厄介な特徴を持ちます。
詐欺メールが届く原因
詐欺メールが届く原因としては、以下が挙げられます。
- 不正なサイトの利用
- 推測しやすいメールアドレスの使用
- メールアドレスの公開
たとえば、懸賞・ポイントサイトといった、運営会社が不明なサービスを利用する際にメール受信を「受け取る」に設定してしまうと、詐欺メールが届きやすくなります。
運営会社が不明なサイトは、ユーザーのメールアドレスを第三者に販売するケースもあるため、そもそも信頼できないサイトを利用したり、登録したりすることは控えるよう注意しましょう。
また、名前や英単語を組み合わせただけの短く単純なメールアドレスは、第三者から容易に予測されてしまうため、詐欺メールが送られてくる可能性が高まります。
ほかにも、SNSやブログなどでメールアドレスを一般向けに公開していると、そのアドレスがスパム送信者に収集され、詐欺メールが送られてくる原因となります。
メールアドレスを含む個人情報は、公開設定を最低限にとどめるようにしましょう。
メール詐欺による被害リスク
メール詐欺に見舞われると、どのような被害が想定されるのでしょうか。
本記事では、メール詐欺被害の代表例を紹介します。
- 架空請求による金銭的な被害
- マルウェア感染
- 個人情報の窃取
- アカウントの乗っ取り・なりすまし
詳しく確認していきましょう。
架空請求による金銭的な被害
存在しないサービスの料金を請求するメール、あるいは「自宅を調べて取り立てに行く」といった脅迫的なメールに焦って対応することで、金銭をだまし取られてしまうケースがあります。
マルウェア感染
不審なメールに含まれるリンクやファイルを開いてしまうと、パソコンやスマートフォンなどのデバイスがマルウェアに感染してしまうリスクがあります。
マルウェアに感染すると、攻撃者によってデバイスを遠隔操作され、個人・機密情報が盗み見られたり、知らない間にサイバー攻撃へと加担させられたりするリスクも高まります。
個人情報の窃取
フィッシングメールを通じて、攻撃者に氏名、住所、電話番号、クレジットカード情報、銀行口座情報、パスワードなどの個人情報が盗まれる可能性があります。
アカウントの乗っ取り・なりすまし
盗んだ個人情報を使って、被害者になりすました詐欺行為や犯罪をおこなうケースも報告されています。
たとえば、盗んだメールアドレスや氏名を使い、取引先に「偽の口座変更」を要求するケースが事例として挙げられます。
正規の社員になりすまし、取引先に「次回、こちらの口座に振込してください」と連絡することで、意図せず攻撃者に最終的に多額の金銭を送金する被害となりました。
メール詐欺への対処法
もしも怪しいメールが届いた場合は、以下のような対処をおこないましょう。
- 添付ファイルやURLを安易に開かない
- 送り主に電話で確かめる
- URLを直接開かず、公式サイトを確認する
- メールの本文や送信元を確認する
- 不審なメールは削除する
不審なメールの添付ファイルやURLを開いてしまうと、マルウェアに感染したり、詐欺サイトに誘導されて個人情報を窃取されたりする危険性があります。
そのため、安易に添付ファイルやURLを開くのではなく、まずは公式サイトを確認する、あるいはメールの送り主に直接電話するなど、信頼できる情報元に直接確認する習慣をつけましょう。
また、差出人のメールアドレスや本文の内容に心当たりのない場合は、内容に従わず、速やかにメールを削除しましょう。
メール詐欺への対策
メール詐欺に有効な対策としては、以下が挙げられます。
- セキュリティソフトの導入
- 認証の強化
- メールフィルタリング機能の活用
- 従業員へのセキュリティ教育の実施
近年高度化が見られるサイバー攻撃から自社を守るためには、堅牢なセキュリティ体制を整備することが重要です。
メール詐欺への対策方法を確認していきましょう。
セキュリティソフトの導入
メール詐欺の対策には、メールセキュリティに効果的なセキュリティソフトの導入が推奨されます。
セキュリティソフトには、メールの添付ファイルや本文内のURLを検査・無害化する機能が搭載されています。
また、詐欺サイトに誘導する危険なURLへのアクセスをそもそも遮断したり、マルウェアが仕込まれた添付ファイルを自動的に削除したりと、ユーザーのリスクある行為を防ぐことができます。
認証の強化
攻撃者は詐欺メールで盗んだ認証情報を悪用し、メールアカウントやSMSを乗っ取り、取引実績のある担当者に偽のメールやSMSを送信することがあります。
また、企業のシステムアカウントや個人のサービスアカウントに不正ログインを仕掛けるケースもあります。
「アカウントの乗っ取り」や「不正ログイン」の被害を防ぐ方法として、パスワードだけにログインを頼らない「多要素認証」を導入し、認証強化を図る方法が効果的です。
多要素認証とは、知識情報・所持情報・生体情報の中から、2つ以上の要素を活用して認証をおこなうセュリティ手法です。
| 知識情報 | パスワード、個人識別番号(PIN)、秘密の質問など |
|---|---|
| 所持情報 | スマートフォン、セキュリティキー、ICカードなど |
| 生体情報 | 指紋、静脈、虹彩など |
▼多要素認証のイメージ
仮に攻撃者が「ログイン用のパスワード」を盗んだとしても、ワンタイムパスワードや生体認証による認証が必要となるため、不正ログインのリスクを大幅に低減することが可能です。
メールフィルタリング機能の活用
メールフィルタリング機能とは、あらかじめ設定した条件に基づいて、特定のメールの受信を拒否する機能です。
メールサービスのスパムフィルターを有効にしておくことで、たとえば、特定のキーワードやフレーズを検知して受信拒否の設定が可能になるため、詐欺メールの被害にあう可能性を下げることができます。
また、頻繁に詐欺メールを送ってくるアドレスやドメインをあらかじめ、ブラックリストに登録しておくのもひとつの手です。
従業員へのセキュリティ教育の実施
なりすましメールや巧妙な詐欺メールによる被害は、技術的な対策のみで完全に防ぐことは困難です。
そのため、企業・組織では定期的にセキュリティ教育を実施し、従業員のセキュリティ知識の向上を図りましょう。
具体的なセキュリティ教育の例としては、以下の項目が挙げられます。
- 業務で使用するメールアドレスでの会員登録、メールアドレスの公開は控える
- 添付ファイルやリンクを安易に開かない
- メールの本文や送信元を確認する
- 容易に推測されないようなメールアドレスを設定する
また、セキュリティポリシーの策定と周知も重要です。
明確なガイドラインを設け、全従業員が遵守すべきセキュリティプラクティスを定めることで、組織全体のセキュリティレベル向上が図れるでしょう。
メールセキュリティ対策ならNDR「Darktrace(ダークトレース)」
メールセキュリティ製品をご検討中の方におすすめしたいのが、NDR「Darktrace(ダークトレース)」です。
「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況の可視化と、異常な挙動を検知するNDRソリューションです。
NDR(Network Detection and Response)とは、ネットワーク機器に流れるトラフィックを分析し、外部からの攻撃や内部不正などの兆候を可視化・検知するセキュリティ手法です。
「Darktrace」には「自己学習型のAI」が搭載されているため、メールの背後にある「⽂脈」や、ユーザーのメール送受信の傾向を理解し、精度の高い攻撃メールであっても検知が可能です。
たとえば、以下のようなメールに潜むさまざまな脅威を自律的に検知することができます。
- ビジネスメール詐欺
- フィッシング攻撃
- ソーシャルエンジニアリング
- 業務メールアカウントへの不正侵入
- なりすまし
- データ窃取
- スピアフィッシング
また、メール受信から約1秒で、メールの危険度に応じて設定されたアクション(例:URL無効化や添付ファイル削除)を自動的に処理・実行するため、誤開封のリスクを未然に防ぐこともできます。
Darktraceはクラウド型のセキュリティで、Microsoft 365(Business Basic以上のライセンス)、またはGoogle Workspace/G Suite(Enterpriseプラン以上)の環境にてご利用可能です。
「Darktrace」に関する詳細は、下記のページをご確認ください。
まとめ
本記事では「メール詐欺」をテーマに、その種類や特徴、有効な対策などについて解説しました。
本記事のまとめ
- メール詐欺とは、メールを利用して個人情報を盗んだり、金銭を不正に取得したりする詐欺行為
- メール詐欺は、信頼できる組織や個人を装ったり、緊急性を煽ったりなど、人間の心理を巧みに悪用して仕掛けられる特徴がある
- 詐欺メールが届く原因としては、不正サイトの利用や、推測しやすいメールアドレスの使用、メールアドレスの公開などが挙げられる
- メール詐欺に有効な対策として「多要素認証」「メールフィルタリング機能」「従業員へのセキュリティ教育の実施」などが挙げられる
メール詐欺にあってしまった場合、マルウェアに感染したり、重要な情報を窃取されたりする危険性が高まります。
メール詐欺の被害を防ぐためには、メール詐欺に有効なセキュリティ対策を日ごろから実行し、安全な状態でメールを活用できる環境を整備する必要があります。
本記事で紹介したNDR「Darktrace(ダークトレース)」は、詐欺メールに潜むさまざまな脅威を自律的に検知することができます。
セキュリティ強化を目指す企業・組織の方は、ぜひ導入をご検討ください。
おすすめ記事
