Written by 夏野ゆきか
目 次
メール詐欺とは、メールを利用して個人情報を盗んだり、金銭を不正に取得したりする詐欺行為を指します。
メール詐欺によって想定される被害として、以下のような例が挙げられます。
- 1. 架空請求による金銭的な被害
- 2. マルウェア感染
- 3. 個人情報の窃取・悪用
もしも怪しいメールが届いた場合は、添付ファイルやURLを安易に開かず、公式サイトを確認したり、メールの送り主に電話で確認したりしてみましょう。また、差出人のメールアドレスや本文の内容を確認し、心当たりがない場合、すぐに削除してください。
この記事では、メール詐欺への対処法や有効な対策を解説します。
▼この記事を要約すると
- メール詐欺とは、メールを利用して個人情報を盗んだり、金銭を不正に取得したりする詐欺行為
- メール詐欺には「信頼できる組織や個人を装う」「緊急性を強調する」「クリックしたくなるようなURLや添付ファイルが含まれている」などの特徴がある
- 代表的な種類に「フィッシング詐欺」「ビジネスメール詐欺(BEC)」「ウイルスメール」「なりすましメール」「スパムメール」「標的型攻撃メール」などが挙げられる
- 詐欺メールが届く原因としては「不正サイトの利用」「推測しやすいメールアドレスの使用」「メールアドレスの公開」などがある
- 怪しいメールが届いた場合は、添付ファイルやURLを安易に開かず、まず送り主に電話で確かめるか、直接公式サイトにて確認することが重要
- メール詐欺に有効な対策として「多要素認証」「メールフィルタリング機能」「従業員へのセキュリティ教育の実施」などが挙げられる
メール詐欺とは
メール詐欺は、メールを利用して個人情報を盗んだり、金銭を不正に取得したりする犯罪行為です。
代表的な手口としては
- ・ フィッシング詐欺
- ・ ビジネスメール詐欺(BEC)
- ・ ウイルスメール
- ・ なりすましメール
- ・ スパムメール
- ・ 標的型攻撃メール
などがあります(それぞれの具体的な説明は「代表的なメール詐欺の種類」で紹介します)。
メール詐欺の具体的な手口の例として、攻撃者が取引先になりすまして被害者に「偽の請求書」をメール送付し、不正な口座振込を促すケースがあります。
あるいは、大手ECサイトを装って「アカウントのパスワード変更が必要」などと“それっぽい”内容のメールを送り、攻撃者が作成した偽サイトへと被害者を誘導して、ログイン情報を入力させ盗み取る、といった手口も横行しています。
近年のメール詐欺の動向(被害件数は増加傾向)
2024年現在、詐欺メールの被害件数は未だ増加傾向にあります。
フィッシング対策協議会が公表した「フィッシング報告状況と対策」の報告によると、2023年に報告されたフィッシング詐欺件数は119万6,390件に達し、前年比で23.5%増加しました。これは過去最悪の数字です。
▼フィッシング報告件数の推移 (年別)
※フィッシング対策協議会の情報をもとにエムオーテックスで作成
また2016年6月から2021年12月までに、米国のインターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)に報告されたビジネスメール詐欺は、被害件数が全米50州と177か国で241,206件、被害総額は未遂を含めて約433億米ドルにのぼります。
ビジネスメール詐欺における被害額は、下のグラフに示す通り2016年以降、増加傾向となっています。
出典:IPA|ビジネスメール詐欺(BEC)の特徴と対策(2022年9月28日)
これらのデータからもわかるように、メール詐欺は依然として深刻な問題です。被害を防ぐためにも、企業全体でのセキュリティ意識の向上と適切な対策が必要不可欠です。
メール詐欺の特徴
多くのメール詐欺には、共通して以下のような特徴が見られます。もし1つでも当てはまれば、「詐欺」の可能性があるため要注意です。
●信頼できる組織や個人を装った内容
メール詐欺の多くは、取引先や銀行、政府機関などの信頼性が高い組織や個人を装って送られます。「取引先や大手企業、公共機関は信頼できる」といった、ユーザー心理を巧みに悪用した手口です。
出典:警察庁|フィッシング対策
●緊急性を強調
詐欺メールは、アカウントの凍結や未払いの請求など、緊急性を感じさせる内容でユーザーの不安をあおる特徴があります。
●クリックしたくなる内容の、URLや添付ファイルが含まれている
偽サイトへのリンクや、マルウェアが仕込まれた添付ファイルが含まれているケースが多いです。ユーザーがこれらのリンクをクリックしたり、添付ファイルを開いたりすると、個人情報の窃取やマルウェアへの感染がおこなわれます。
●個人情報を要求してくる
メール詐欺の主な目的は、アカウントへの認証情報やクレジットカード情報など、価値ある個人情報を入手することにあります。よってメール本文に、これらの情報入力を促すような内容が含まれている場合があります。
●不自然な文法や誤字脱字が見られる
詐欺メールには、誤字脱字が多い・普段使用されない漢字(繁体字、簡体字など)が用いられている、といった特徴もあります。
特に、海外の詐欺グループが関与している場合、自動翻訳ソフトを使用しているため、文章が不自然になる傾向があります。
▼宛名表記がおかしいフィッシング詐欺メールの例
出典:警察庁|フィッシング110番
代表的なメール詐欺の種類
ここでは、知っておきたい「代表的なメール詐欺の種類」について解説します。
- 1. フィッシング詐欺
- 2. ビジネスメール詐欺(BEC)
- 3. ウイルスメール
- 4. なりすましメール
- 5. スパムメール
- 6. 標的型攻撃メール
1.フィッシング詐欺
フィッシング詐欺とは、送信者を偽った「電子メール」や正規のサイトと酷似した「偽サイト」などを悪用し、個人情報を盗み出す詐欺手口のことです。
攻撃者は有名サービスや企業を装って、ユーザーに「偽サイト」へ誘導するメールやSMSを送り、ユーザーにサイトへ個人情報を入力させることで、その情報を盗みます。
フィッシング詐欺の手口は年々巧妙になっており、電子メールの内容や接続先の偽サイトのデザインなども、正規のものと区別がつかないようになっています。
▼「大手通販サイト」を模したフィッシング詐欺の例
出典:IPA|URLリンクへのアクセスに注意(2021年8月31日)
2.ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC)は、取引先企業や自社の経営陣になりすまし、偽のビジネスメールを送信して詐欺行為をするサイバー攻撃です。
ビジネスメール詐欺の手口としては、
- ・ 攻撃者が取引先の担当者になりすまして偽の請求書を送り、不正入金を促す
- ・ 攻撃者が自組織の経営者になりすまして財務・経理部の従業員にメールを送り、不正入金を促す
といったものが代表的です。
▼取引先になりすました「ビジネスメール詐欺」の例
出典:大阪府警察庁|ビジネスメール詐欺の被害にご注意!
3.ウイルスメール
ウイルスメールは、添付ファイルやリンクを通じてマルウェアを拡散することを目的とした詐欺メールです。一見無害に見える内容で受信者をだまし、ファイルの開封やリンクのクリックへ誘導します。
ウイルスメールにより、パソコンやタブレット、スマートフォンなどのデバイスがウイルスに感染したり、システムが破壊されたりする可能性があります。
4.なりすましメール
なりすましメールは、信頼できる組織や個人を装って送られる悪意のあるメールです。フィッシング詐欺、ビジネスメール詐欺などの手口で利用されます。
例として、有名企業や公共機関を名乗ったり、本物そっくりの企業ロゴを使用して、ユーザーに真正なメールと勘違いさせます。個人情報の流出や金銭的損失のリスクがあります。
5.スパムメール
スパムメールは、不特定多数に大量に送信される迷惑メールです。
多くの場合は宣伝、広告目的ですが、中には詐欺的な内容を含むものもあり、金銭的な被害につながる可能性もあります。
6.標的型攻撃メール
標的型攻撃メールは、特定の個人や組織を「標的(ターゲット)」とし、不正なファイルやURLを含んだメールを送り付けて、企業や組織の情報資産を盗み取ろうとするサイバー攻撃です。
あらかじめ標的を徹底的に調査し、念入りな計画と巧妙なメール文書を用いて仕掛けられます。
▼標的型攻撃メールのイメージ
出典:総務省│標的型攻撃への対策
また一般的なスパムメールよりも洗練された手口が用いられるため、感染後も実害が起きるまで気づきづらく、被害の規模が大きくなりやすいといった厄介な特徴を持ちます。
詐欺メールが届いてしまう原因
詐欺メールが届いてしまう原因としては、以下が挙げられます。
- ・ 不正なサイトの利用
- ・ 推測しやすいメールアドレスの使用
- ・ メールアドレスの公開
例えば、懸賞・ポイントサイトといった、運営会社が不明なサービスを利用する際、メール受信を「受け取る」に設定してしまうと、詐欺メールが届きやすくなります。これらのサイトは、ユーザーのメールアドレスを第三者に販売することがあるので、そもそも信頼できないwebサイトの利用は控えるよう注意しましょう。
また、名前や英単語を組み合わせただけの短く単純なメールアドレスは、第三者から容易に予測されてしまうので、詐欺メールが送られてくる確率が高まります。
他にも、SNSやブログなどでメールアドレスを一般向けに公開していると、そのアドレスがスパム送信者に収集され、詐欺メールが送られてくる原因となります。メールアドレスを含む個人情報は、公開設定を最低限にとどめることをおすすめします。
メール詐欺にあうと、どういった被害が想定される?
メール詐欺にあってしまった場合、以下のような被害が想定されます。
- 1. 架空請求による金銭的な被害
- 2. マルウェア感染
- 3. 個人情報の窃取
- 4 アカウントの乗っ取り・なりすまし
1.架空請求による金銭的な被害
存在しないサービスの料金を請求するメール、あるいは「自宅を調べて取り立てに行く」といった脅迫的なメールに焦って対応することで、金銭をだまし取られてしまうケースがあります。
2.マルウェア感染
不審なメールに含まれるリンクやファイルを開くと、パソコンやスマートフォンなどのデバイスがマルウェアに感染してしまう危険性が高いです。
マルウェアに感染すると、攻撃者によって端末を遠隔操作され、個人・機密情報が盗み見られたり、知らない間にサイバー攻撃へと加担させられたりする可能性があります。
3.個人情報の窃取
フィッシングメールを通じて、攻撃者に氏名、住所、電話番号、クレジットカード情報、銀行口座情報、パスワードなどの個人情報が盗まれる可能性があります。
4.アカウントの乗っ取り・なりすまし
攻撃者が盗んだ個人情報を使って、被害者になりすました詐欺行為や犯罪を行うことがあります。
事例として、盗んだメールアドレスや氏名を使い、取引先に「偽の口座変更」を要求するケースがありました。正規の社員になりすまし、取引先に「次回、こちらの口座に振込してください」と連絡することで、意図せず攻撃者に最終的に多額の金銭を送金する被害となりました。
怪しいメールが届いたら?メール詐欺への対処法
もしも怪しいメールが届いた場合は、以下のような対処を行いましょう。
- ・ 添付ファイルやURLを安易に開かない
- ・ 送り主に電話で確かめる
- ・ URLを直接開かず、公式サイトを確認する
- ・ メールの本文や送信元を確認する
- ・ 不審なメールは削除する
不審なメールの添付ファイルやURLを開いてしまうと、マルウェアに感染したり、詐欺サイトに誘導されて個人情報を窃取されたりする危険性があります。
そのため、受け取り手は安易に添付ファイルやURLを開くのではなく、まずは必ず公式サイトを確認する、あるいはメールの送り主に直接電話するなど、信頼できる情報元に直接確認する習慣を徹底しましょう。
また、差出人のメールアドレスや本文の内容に心当たりのない場合は、内容に従わず、速やかにメールを削除しましょう。
メール詐欺への対策
メール詐欺に有効な対策としては、以下が挙げられます。
- ・ メール詐欺に有効なセキュリティソフトの導入
- ・ 多要素認証やパスワードマネージャーを使った、アカウント認証の強化
- ・ メールフィルタリング機能の活用
- ・ 従業員へのセキュリティ教育の実施
1.メール詐欺に有効なセキュリティソフトの導入
メール詐欺対策には、メールセキュリティに効果的なセキュリティソフトの導入をおすすめします。セキュリティソフトには、メールの添付ファイルや本文内のURLを検査・無害化する機能が搭載されています。
詐欺サイトに誘導する危険なURLへのアクセスをそもそも遮断したり、マルウェアが仕込まれた添付ファイルを自動的に削除したりと、ユーザーのリスクある行為を防ぎます。
2.多要素認証やパスワードマネージャーを使った、アカウント認証の強化
攻撃者は詐欺メールによって盗んだ認証情報を悪用し、メールアカウントやSMSを不正ログインによって乗っ取ることで、取引実績のある担当者に偽のメールやSMSを送信することがあります。
また企業のシステムアカウントや個人のサービスアカウントへ、盗んだ認証情報を使って、不正にログインする可能性もあります。
このように「アカウントの乗っ取り」や「不正ログイン」被害を防ぐためにも、パスワードだけにログインを頼らない「多要素認証」を導入し、認証強化を図る必要があります。
多要素認証とは、知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。
▼多要素認証のイメージ
仮に攻撃者が「ログイン用のパスワード」を盗んだとしても、ワンタイムパスワードや生体認証による認証が必要となるため、不正ログインのリスクを大幅に低減することが可能です。
3.メールフィルタリング機能の活用
メールフィルタリング機能とは、あらかじめ設定した条件に基づいて、特定のメールの受信を拒否する機能です。
メールサービスのスパムフィルターを有効にしておくことで、例えば、特定のキーワードやフレーズを検知して受信を拒否できるので、詐欺メールの被害にあう確率を低減できます。
また、頻繁に詐欺メールを送ってくるアドレスやドメインをあらかじめ、ブラックリストに登録しておくのも一つの手です。
4.従業員へのセキュリティ教育の実施
なりすましメールや巧妙な詐欺メールによる被害は、技術的な対策のみで完全に防ぐことは困難です。よって企業・組織では定期的にセキュリティ教育を実施し、従業員のセキュリティ知識底上げを図ることが不可欠です。
具体的なセキュリティ教育の例として
- ・ 業務で使用するメールアドレスでの会員登録、メールアドレスの公開は控える
- ・ 添付ファイルやリンクを安易に開かない
- ・ メールの本文や送信元を確認する
- ・ 容易に推測されないようなメールアドレスを設定する
などが挙げられます。
また、セキュリティポリシーの策定と周知も重要です。明確なガイドラインを設け、全従業員が遵守すべきセキュリティプラクティスを定めることで、組織全体のセキュリティレベルを向上できます。
メールセキュリティ対策なら、NDR「Darktrace(ダークトレース)」におまかせ
メールセキュリティ製品をご検討中の方におすすめしたいのが、NDR「Darktrace(ダークトレース)」です。
Darktraceとは、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況の可視化と、異常な挙動を検知するNDRソリューションです。
Dartraceは「自己学習型のAI」が搭載されているので、メールの背後にある「⽂脈」や、ユーザーのメール送受信の傾向を理解し、精度の高い攻撃メールであっても検知が可能です。
- ・ ビジネスメール詐欺
- ・ フィッシング攻撃
- ・ ソーシャルエンジニアリング
- ・ 業務メールアカウントへの不正侵入
- ・ なりすまし
- ・ データ窃取
- ・ スピアフィッシング
などの、メールに潜むさまざまな脅威も、自律的に検知することができます。
また、メール受信から約1秒で、メールの危険度に応じて設定されたアクション(例:URL無効化や添付ファイル削除)を自動的に処理・実行するため、誤開封のリスクを未然に防ぐこともできます。
Darktraceはクラウド型のセキュリティで、Microsoft 365(Business Basic以上のライセンス)、またはGoogle Workspace/G Suite(Enterpriseプラン以上)の環境にてご利用可能です。
詳細はぜひ、以下ページをご覧ください。
まとめ
本記事では「メール詐欺」をテーマに、その種類や特徴、有効な対策などについて解説しました。
本記事のまとめ
- メール詐欺とは、メールを利用して個人情報を盗んだり、金銭を不正に取得したりする詐欺行為
- メール詐欺には「信頼できる組織や個人を装う」「緊急性を強調する」「クリックしたくなるようなURLや添付ファイルが含まれている」などの特徴がある
- 代表的な種類に「フィッシング詐欺」「ビジネスメール詐欺(BEC)」「ウイルスメール」「なりすましメール」「スパムメール」「標的型攻撃メール」などが挙げられる
- 詐欺メールが届く原因としては「不正サイトの利用」「推測しやすいメールアドレスの使用」「メールアドレスの公開」などがある
- 怪しいメールが届いた場合は、添付ファイルやURLを安易に開かず、まず送り主に電話で確かめるか、直接公式サイトにて確認することが重要
- メール詐欺に有効な対策として「多要素認証」「メールフィルタリング機能」「従業員へのセキュリティ教育の実施」などが挙げられる
メール詐欺にあってしまった場合、マルウェアに感染したり、重要な情報を窃取されたりする危険性があります。こうした事態を防ぐためにも、メール詐欺に有効なセキュリティ対策を日ごろから実行し、安全な状態でメールを活用できる環境づくりを目指しましょう。
おすすめ記事
