メールスプーフィングとは?安全なメール利用のためのガイド

ざっくりと

  • 他人の情報でメール送信
  • 受信者を騙す目的
  • 内容の詳細は偽造できない

メールスプーフィングとは、他人の情報で偽装メールを送り、受信者を騙す行為です。

概要説明

メールスプーフィングとは他人のメールアドレスで偽装メールを送る行為である。なぜならば、受信者に対して不信感を抱かせずにメールを開封させるため。

例えば、銀行や友人を装ったメールである。そして、そのメールには悪意のあるリンクや添付ファイルが含まれることが多い。

つまり、個人情報の盗難やコンピュータウイルスの感染を狙った攻撃である。だから、不審なメールは開かずに削除することが重要。

職業職種

  • サイバーセキュリティ専門家
    メールスプーフィングは、日常的な脅威である。なぜなら、企業や個人を狙ったサイバー攻撃の一手段として使われるから。例えば、従業員を装った偽装メールを送り、情報を盗む。
  • 一般のメール利用者
    メールスプーフィングは、自分も狙われる可能性がある。なぜなら、誰でもがターゲットにされる可能性があるから。例えば、友人を装った偽装メールに騙され、個人情報を漏らす。
  • 企業のIT担当者
    メールスプーフィングは、企業のセキュリティを脅かす。なぜなら、従業員が偽装メールを開いてしまうと、企業全体のネットワークが危険に晒されるから。例えば、重要な業務情報が盗まれる。

メールスプーフィングは、名前の由来は英語の「spoof」からです。この「spoof」は「だます、からかう」という意味があり、メールを使って他人をだます行為を指す言葉として使われています。

代表例

  • PayPal
    PayPalは、メールスプーフィングで有名である。なぜなら、詐欺師がPayPalの名を騙って偽のメールを送り、ユーザーの個人情報を盗むケースが多いから。例えば、「アカウントの確認が必要」と偽装したメール。
  • IRS(Internal Revenue Service)
    IRSは、メールスプーフィングで名高い存在である。なぜなら、アメリカの税務当局を名乗る詐欺メールが頻繁に送られ、納税者の情報を盗む試みがあるから。例えば、「税金の返金があります」という偽の通知メール。
  • Amazon
    Amazonは、メールスプーフィングで世間に知られている。なぜなら、詐欺師がAmazonの名前を使って偽の注文確認メールを送り、クレジットカード情報を盗むケースがあるから。例えば、「ご注文の確認」を装ったフィッシングメール。

手順例

以下は、メールスプーフィングの実行手順です。
  1. 偽のメールアドレス作成
    偽のメールアドレスは、信頼される組織や個人を装うものである。なぜなら、受信者を騙すため。例えば、bank-support@example.com。
  2. 説得力のある内容を考える
    メールの内容は、受信者が信じやすいものである。なぜなら、リンクをクリックさせるため。例えば、偽のセキュリティ警告。
  3. 悪意のあるリンクや添付ファイルを追加
    メールには、悪意のあるリンクや添付ファイルを含める。なぜなら、受信者の情報を盗むため。例えば、ウイルスが埋め込まれたPDF。
  4. 送信先を選定
    送信先は、狙いやすいと判断される人々である。なぜなら、成功率を上げるため。例えば、高齢者や情報セキュリティに疎い人々。
  5. メールを送信
    偽装したメールを大量に送信する。なぜなら、少なくとも一部の人が騙される確率があるから。例えば、一斉に数千人にメールを送る。

類似語

  • フィッシング
    フィッシングは、メールスプーフィングの類似語である。なぜなら、両者ともに偽のメールを使って個人情報を盗む詐欺手法だから。例えば、偽の銀行サイトへのリンクをメールで送る。
  • なりすまし
    なりすましは、メールスプーフィングの類似語である。なぜなら、他人の情報を使って信頼を得ようとする行為が共通しているから。例えば、友人を装ったメールを送る。
  • ソーシャルエンジニアリング
    ソーシャルエンジニアリングは、メールスプーフィングの類似語である。なぜなら、人間の心理を利用して情報を盗む手法の一つとされるから。例えば、緊急を装った偽のセキュリティ警告メール。

反対語

  • 認証付きメール
    認証付きメールは、メールスプーフィングの反対語である。なぜなら、送信者の正当性が確認され、偽装がないから。例えば、DMARCを使用したメール。
  • 透明通信
    透明通信は、メールスプーフィングの反対語である。なぜなら、送信者と受信者が明確で、中間での改ざんがないから。例えば、SSL/TLSによる暗号化通信。
  • 公式通知
    公式通知は、メールスプーフィングの反対語である。なぜなら、正式な組織からの正当な情報を伝えるものだから。例えば、銀行からの口座情報の通知メール。

会話例

  • 社内セキュリティ研修の場面
    「メールスプーフィングって何?」
    「それは、詐欺師が他人のメールアドレスを使って偽のメールを送る手口だよ。」
  • ITサポートへの相談の場面
    「このメール、メールスプーフィングじゃない?」
    「うん、そのメールは偽物のようだね。リンクをクリックしないようにしよう。」
  • 新入社員のオリエンテーションの場面
    「メールスプーフィングを防ぐにはどうしたらいい?」
    「重要な情報を求めるメールには、送信者を確認してから返信することが大切だよ。」

注意点

メールスプーフィングを行う場合の注意点は法的なトラブルである。なぜならば、他人の情報を不正に使用して詐欺行為を行う可能性があるからだ。

例えば、刑事告訴されるリスクがある。そして、信用の失墜。だから、絶対に行わない。

メールスプーフィングとフィッシングは、間違えやすいので注意しましょう。

メールスプーフィングは、他人のメールアドレスを使って偽のメールを送る行為です。

一方、フィッシングは、偽のウェブサイトに誘導して個人情報を盗む行為です。

記事を書いてる人
雨おやじ

ガラケー時代からWEB開発やってる自宅SE です。

「○○を知りたい!!」「○○が分からない!!」などありましたら、Twitterでもブログでもコメントいただければ、ご期待に添えるように頑張ります!

ネット事件簿チャンネルを運営しているので、YouTubeもぜひ覗いてみてください!!

雨おやじのSNSを覗く!!
IT用語辞典
雨おやじのSNSを覗く!!
ITkagyo
ITkagyo

コメント