メールの見かけ上の送信元情報を安易に信じないで

IPA情報セキュリティ安心相談窓口には日々様々な相談が寄せられています。
その中でも不審メール（フィッシングメール（脚注1）、迷惑メール、偽セクストーションメール（脚注2）など）に関する相談は、継続して多く寄せられています。
相談の中には、「メールの『送信元情報』がいつも利用しているサービス名やメールアドレスであった為、URLをクリックしてサイトにアクセスし、情報を入力してしまった」という内容も少なくありません。
また金銭を恐喝する偽セクストーションメールが、自分のアドレスから送られているように見えることに不安を感じる方もいらっしゃいます。

不審メールの見かけ上の「送信元情報」は偽装されている場合があるため、一般ユーザがその情報を見て真偽の判断をすることは困難です。
そこで、今回の安心相談窓口だよりでは、メールの「送信元情報」の偽装について、事例をもとに説明を行います。

1. (脚注1)
   フィッシング (Phishing) とは、実在する組織をかたって、ユーザネーム、パスワード、アカウント ID、ATM の暗証番号、クレジットカード番号といった重要情報を詐取すること。
2. (脚注2)
   性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意

1．「送信元情報」の偽装例

メールに関する相談内容の多くは、ECサイト、カード会社、銀行等になりすました偽メールを不特定多数に送信して、偽サイトに誘導し、IDやパスワード、クレジットカード情報などを入力させるフィッシングの手口となっています。
このようなフィッシングメールは、受信者に本物のメールであると信じさせるために、「送信元情報」に様々な偽装を行っています。
下記は、Amazonになりすましたフィッシングメールの事例です。

「送信元情報」の表示名が「Amazon顧客サービス」、メールアドレスは正規のドメイン名である「amazon.co.jp」となっており、一見してAmazonからの本物のメールに見えます。
このように見かけ上の「送信元情報」を安易に信じてしまうと不審メールに騙されてしまいます。

メールの仕様上、図1における受信者が見ることのできる「見かけ上の送信元表示名」「見かけ上の送信元メールアドレス」は、メールソフトやメールサービスの設定にて、任意に登録して送信することができます。

「なお、スマートフォンのメールアプリで表示される「送信元情報」は、パソコンにくらべて表示の項目が少ない場合もあり、真偽の判断をすることは、より一層困難です。

2．その他の事例

その他の偽メールの事例

上記は「三井住友カード」「楽天市場」をかたるフィッシングメールの「送信元情報」ですが、「送信元表示名」「送信元メールアドレス」が正規の内容に偽装されているため、騙されてしまいます。

上記は仮想通貨で金銭を要求する「偽セクストーションメール」の「送信元情報」ですが、「送信元メールアドレス」が自分のアドレスと同じ内容に偽装されています。そのため、あたかも自分のメールアカウントが乗っ取り被害にあっている不安を感じますが、実際はそうではありません。

3．メールをご利用する上での注意点

不審なメールへの対処法

今回説明したように、送られてきたメールの「送信元情報」から、本物か偽物かを判断することは困難です。そのため、真偽の判断は公式サイトなど確かな情報源を使って確認するようにしてください。
突然送られてくるメールや不審なメールについては、基本的に下記の対応をしてください。

• 添付ファイルを開かない
• 記載のURLからウェブサイトにアクセスしない
• 記載の電話番号に電話をしない
• 返信しない