情報セキュリティ
公開日:2021年9月21日
独立行政法人情報処理推進機構
セキュリティセンター
メールの見かけ上の送信元情報を安易に信じないで!
ー 表示名やメールアドレスは偽装されているかも?ー
IPA情報セキュリティ安心相談窓口には日々様々な相談が寄せられています。
その中でも不審メール(フィッシングメール(脚注1)、迷惑メール、偽セクストーションメール(脚注2)など)に関する相談は、継続して多く寄せられています。
相談の中には、「メールの『送信元情報』がいつも利用しているサービス名やメールアドレスであった為、URLをクリックしてサイトにアクセスし、情報を入力してしまった」という内容も少なくありません。
また金銭を恐喝する偽セクストーションメールが、自分のアドレスから送られているように見えることに不安を感じる方もいらっしゃいます。
不審メールの見かけ上の「送信元情報」は偽装されている場合があるため、一般ユーザがその情報を見て真偽の判断をすることは困難です。
そこで、今回の安心相談窓口だよりでは、メールの「送信元情報」の偽装について、事例をもとに説明を行います。
メールに関する相談内容の多くは、ECサイト、カード会社、銀行等になりすました偽メールを不特定多数に送信して、偽サイトに誘導し、IDやパスワード、クレジットカード情報などを入力させるフィッシングの手口となっています。
このようなフィッシングメールは、受信者に本物のメールであると信じさせるために、「送信元情報」に様々な偽装を行っています。
下記は、Amazonになりすましたフィッシングメールの事例です。
「送信元情報」の表示名が「Amazon顧客サービス」、メールアドレスは正規のドメイン名である「amazon.co.jp」となっており、一見してAmazonからの本物のメールに見えます。
このように見かけ上の「送信元情報」を安易に信じてしまうと不審メールに騙されてしまいます。
メールの仕様上、図1における受信者が見ることのできる「見かけ上の送信元表示名」「見かけ上の送信元メールアドレス」は、メールソフトやメールサービスの設定にて、任意に登録して送信することができます。
上記のことから、メールソフトに表示される「送信元情報」を見て、メールの真偽を確認することは困難です。
「なお、スマートフォンのメールアプリで表示される「送信元情報」は、パソコンにくらべて表示の項目が少ない場合もあり、真偽の判断をすることは、より一層困難です。
上記は「三井住友カード」「楽天市場」をかたるフィッシングメールの「送信元情報」ですが、「送信元表示名」「送信元メールアドレス」が正規の内容に偽装されているため、騙されてしまいます。
上記は仮想通貨で金銭を要求する「偽セクストーションメール」の「送信元情報」ですが、「送信元メールアドレス」が自分のアドレスと同じ内容に偽装されています。そのため、あたかも自分のメールアカウントが乗っ取り被害にあっている不安を感じますが、実際はそうではありません。
今回説明したように、送られてきたメールの「送信元情報」から、本物か偽物かを判断することは困難です。そのため、真偽の判断は公式サイトなど確かな情報源を使って確認するようにしてください。
突然送られてくるメールや不審なメールについては、基本的に下記の対応をしてください。
安心相談窓口だより
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2021年9月21日
掲載