メール」に注意|見分け方と対策とは?|Web・ホームページ制作の株式会社アウラ(大阪))
近年、ドメインの管理会社やサーバー会社を装った「なりすましメール(フィッシングメール)」が増加しており、企業や個人を問わず被害が広がっています。
当社にも「本物のメールなのか判断がつかない」「不安なので確認してほしい」といったご相談が数多く寄せられています。
本記事では、なりすましメールの代表的な手口と見分け方、防止策についてわかりやすくご紹介させていただきます。
フィッシングメールとは、信頼できる企業や団体を装い、受信者からパスワードやクレジットカード情報などの機密情報を盗み取る目的で送られるメールです。
最近ではデザインや文面も巧妙で、正規の通知と見分けがつきにくくなっており、特にドメインやサーバーの管理をしているご担当者様が狙われるケースが増えています。
たとえば、次のような内容が典型的です。
一見すると本物そっくりなメールですが、リンク先は詐欺サイトであることがほとんどです。
誤ってログイン情報やクレジットカード番号を入力すると、情報が盗まれてしまいます。
以下のポイントを意識することで、ある程度見分けることが可能です。
正規の企業名を名乗っていても、メールアドレスのドメインが不自然であることが多いです。
例:info@〇〇〇.com
正規企業のドメインとは異なる文字列や、フリーメールアドレスになっているなど
リンクにカーソルを合わせると、実際の遷移先が表示されます。
怪しいURL(例:xn--や数字の羅列)は要注意です。
言い回しがぎこちなかったり、不自然な改行や記号の使い方が目立つ場合も、フィッシングメールの可能性があります。
「至急」「24時間以内に」など、焦らせる文言で冷静な判断を鈍らせるのも典型的な手口です。
■ セキュリティソフトの導入と常時更新
GmailやOutlookなど、多くのメールサービスには迷惑メールフィルター機能が搭載されています。
「迷惑メールとして報告」することでAIが学習し、以降のフィルタリング精度が向上します。
定期的に迷惑メールフォルダを確認し、適切な分類がされているかチェックするのもおすすめです。
■ 身に覚えのないメールは開かず、URLや添付ファイルはクリックしない
「心当たりのない請求」「アカウントの緊急停止」など、不安をあおってリンクをクリックさせようとするのも、よくある手口の一つです。
基本的には、メール本文中のリンクをクリックせず、公式サイトに直接アクセスして確認するのが安全です。
■ 定期的にパスワードを変更し、二段階認証を設定する
仮に情報が漏れてしまったとしても、パスワードを定期的に変更していれば被害を最小限に抑えることができます。
■ 社内での情報セキュリティ教育を継続的に実施する
社員一人ひとりが「どのようなメールが危険なのか」を理解しておくことも、被害を未然に防ぐうえで非常に重要です。
なりすましメールは「受け取る側」の問題だけではありません。
実は、自社のドメインが“なりすましの送信元”として悪用されてしまうケースもあります。
これを未然に防ぐためには、「送信ドメイン認証技術」の導入が効果的です。
主に使われているのは以下の3つの技術です。
・SPF(Sender Policy Framework)
・DKIM(DomainKeys Identified Mail)
・DMARC(Domain-based Message Authentication, Reporting & Conformance)
これらを正しく設定することで、「このメールは本当に正規の送信元から送られているか?」を受信側が確認できるようになります。
詳しくは、こちらの記事にてご確認いただけますと幸いです。
メールが届かない原因とは?迷惑メールを防ぐSPF、DKIM、DMARC認証設定の重要性
警察庁でも、フィッシング詐欺に関する最新の手口や対策を紹介しています。
企業・個人問わず、こちらの情報も参考にするとより安心です。
詳しくは、警察庁の公式ページ(フィッシング対策)をご確認ください。
弊社では、Web制作だけでなく、サーバーやドメインの運用・管理も対応しております。
少しでも気になることがございましたら、お気軽にご相談ください。
