スパムメールや不正なメッセージってどんなもの？人の心理の隙を突く攻撃手口と5つの対策

スパムメールをきっかけに利用者を不正サイトに誘導したり、マルウェアに感染させたりする攻撃が後を絶ちません。SNSやSMSを悪用した不正なメッセージも大量に出回っています。スパムメールや不正なメッセージの実例と5つの対策を紹介します。

スパムメールが4つの攻撃の起点に

メール利用者は、メールボックスに大量に届くスパムメールにへき易しているのではないでしょうか。スパムメールは、受信者の意向を無視して一方的に送りつけられるメールを指し、迷惑メールやジャンクメールなどとも呼ばれます。その種類はさまざまです。商品やサービスの宣伝、ビジネスの勧誘を目的とするものもあれば、フィッシングサイトなどの不正サイトへ誘導したり、マルウェア（ウイルスなど不正プログラムの総称）を拡散したりする攻撃の手段として使われるものもあります。

サイバー犯罪者が攻撃に用いるのはメールだけではありません。SNSのダイレクトメッセージやSMS （ショートメッセージサービス）を悪用した不正なメッセージも大量に拡散しています。スパムメールや不正なメッセージによる攻撃にはどのようなものがあるでしょうか。大きく、「不正サイトへ誘導するもの」「マルウェアに感染させるもの」「金銭や情報を奪うもの」「誤情報やデマを発信するもの」の4つのタイプがあります。ここから実例を見ていきましょう。

スパムメールや不正なメッセージの実例をチェック

1.不正サイトへ誘導するタイプ

新型コロナウイルス感染症緊急経済対策の一環である特別定額給付金の申請手続きを装うスパムメールの情報がSNS上で投稿されています。多くの人の関心事や旬な話題に便乗するのはネット詐欺の常とう手段です。実際に報告されているのは、携帯電話事業者をかたり「給付金10万配布につき、お客様の所在確認」といったタイトルで送りつけられるメールです。本文は給付金の申請や書類の受け取りのためなどと称して受信者にURLリンクを開かせる内容になっています。しかし、このメールから誘導されるWebページは「当選」のメッセージを表示し、当選金を受け取るためという名目で銀行名や口座番号、氏名などを入力させる当選詐欺サイトでした。自治体や携帯電話事業者がメール経由で給付金の申請手続きを促すことはないため注意してください。また、配送業者を装う事例としては、「金融機構より『特別低額給付金』について、重要な受取書類をお預かりしております。」と誤字を含んだ件名などで送り付けられる偽の不在通知メールが報告されています。

佐川急便を装った迷惑メールにご注意ください
https://www2.sagawa-exp.co.jp/whatsnew/detail/721/

2.マルウェアに感染させるタイプ

新型コロナウイルスの影響で在宅勤務やオンライン授業が進む中、ZoomやGoogleハングアウト、Microsoft Teamsなどといったビデオ会議（オンライン会議、リモート会議）サービスの需要が高まっています。サイバー犯罪者がこの状況を見逃すはずはありません。実際、マルウェア付きのZoomのインストーラが配布されていたことを確認しています。もし、マルウェア付きのインストーラを起動してしまうと、端末内に正規のZoomアプリだけでなく、マルウェアも入り込んでしまいます。このような不正なインストーラを配布している不正サイトに誘導する方法の1つとしては、偽メールや偽装メッセージが考えられます。メールやメッセージからツールのインストールを促された場合、送られてきたURLリンクを安易に開くことは危険です。

3.金銭や情報を奪うタイプ

メールは恐喝の手段にもなっています。実際、「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった文面で受信者を不安がらせ、仮想通貨（暗号通貨）を要求するスパムメールが継続的に確認されています。サイバー犯罪者は、でたらめの脅迫内容を信じ込ませるためにさまざまな工夫を凝らします。たとえば、送信元メールアドレス（From:）を受信者自身のメールアドレスに偽装したり、受信者が何らかのインターネットサービスで使用しているパスワードを表題や本文に記載することで、脅迫内容の信ぴょう性を高めるのです。

セキュリティ事業者を偽装したアカウントから「技術的な悩みを解決します」といった文言とURLリンクをSNS上に投稿し、そこからサポート詐欺サイトへ誘導する事案も確認されています。もし、サポート詐欺サイトに記載された窓口に電話し、サポート契約の手続きに入ってしまえば、金銭だけでなく、名前やメールアドレス、電話番号、クレジットカードなどの情報もだまし取られてしまいます。

4.誤情報やデマを発信するタイプ

メールやSNS、ネット掲示板などでは事実と異なる情報や、必ずしも正確ではない情報、ある意図をもって加工されたデマが飛び交っています。ネット上に根拠のない誤情報やデマを発信する目的はさまざまです。いたずらや承認欲求の充足だけでなく、ネット利用者をでっち上げ記事に引き込むことでアフィリエイト収入を得ることが目的の場合もあるでしょう。また、虚偽の抽選などでフォロワーを集め、アカウントの価値を不正につり上げる行為や、サイバープロパガンダ(世論を操作するために行うネット上の宣伝工作)と見られるものもあります。

デマの拡散事案として記憶に新しいのは、「新型コロナウイルス感染症の影響でトイレットペーパーが品薄になる」というSNSの投稿です。デマと認識されながらも、これをきっかけに消費者がトイレットペーパーを一気に買い求めた結果、一部店舗では品薄状態が発生しました。ネット上には誤情報やデマも紛れており、それらが実社会に影響を及ぼす可能性もあることを認識しましょう。

スパムメールや不正なメッセージによる攻撃の被害に遭わないための5つの対策

「ネット上に私的なメールアドレスを公開しないこと」「不審なメールに返信しないこと」「各携帯電話事業者やプロバイダ、クラウドメールサービスが提供する迷惑メールフィルタ機能を利用すること」「ダイレクトメッセージの受信制限をする」「SMSの振り分け設定を行う」などを心がければ、スパムメールや不正なメッセージを届きにくくすることができます。しかし、これらを完全に遮断することは困難です。重要なことは、受け取ったとしても適切に対処できるよう備えておくことです。5つの対策を実践しましょう。

＋メッセージ使い方ガイド　不明な差出人からのメッセージを振り分ける設定を変更する
https://help.mb.softbank.jp/app/plusmessage/sp/01-03-04.html

不明な差出人からの iMessage をフィルタで除外する
https://support.apple.com/ja-jp/HT201229

1.詐欺の手口と実例を知る

スパムメールや不正なメッセージによる詐欺や脅迫などに引っかからないよう、その手口と実例を知っておきましょう。普段からセキュリティ事業者やフィッシング対策協議会などが公表する注意喚起情報に目を通しておくことが大切です。注意喚起を行っている公式SNSをフォローしておくと、情報を入手しやすくなります。

公式SNSの一例
・内閣サイバー(注意・警戒情報)公式 Twitter
・NHKニュース公式 Twitter
・警視庁サイバーセキュリティ対策本部公式 Twitter
・消費者庁公式 Twitter
・消費者庁公式 Facebook
・トレンドマイクロ公式 Twitter
・トレンドマイクロ公式 Facebook

2.URLリンクや添付ファイルを不用意に開かない

著名な企業やネットサービスを差出人とするメールやSMSでも、URLリンクや添付ファイルの開封を促すものは詐欺を疑ってください。その企業の公式サイトに掲載された注意喚起情報をチェックしたり、電話などで直接問い合わせたりして事実確認を行うことが大切です。その際、メッセージ内に記載された連絡先に問い合わせてはいけません。ネット検索し、公式の窓口を確認しましょう。

また、次世代版SMS、RCS（Rich Communication Service）に準拠した「＋メッセージ」では、携帯電話事業者3社それぞれの審査を経て認証を受けた事業者のアイコンに認証済みマークが表示されます。その有無も真偽の判断に役立ちます。

事業者のアカウントに表示される認証済みマークの例

図：事業者のアカウントに表示される認証済みマークの例

3.脆弱性対策を行う

スパムメールの中にはコンピュータ内のOSやソフトの脆弱性を悪用することでマルウェアを送り込む攻撃の起点となるものもあります。OSやソフトの開発元から更新プログラムが提供されたら速やかに適用し、常に最新バージョンに保ちましょう。

4.セキュリティソフトを最新の状態で利用する

セキュリティソフトを正しく更新しながら利用すれば、不正サイトへアクセスしたり、不正ファイルを実行されたりするリスクを下げられます。また、最近は不正サイトに誘導されるスマホ利用者も急増しています。パソコンだけでなく、スマホにもセキュリティアプリをインストールしましょう。

図：不正サイトに誘導された国内モバイル利用者数推移、2020年5月トレンドマイクロ調べ

5.誤情報やデマに惑わされない

メールに記載された情報やSNSの投稿内容を鵜呑みにしてはいけません。たとえ善意や正義感に基づく行為でも誤情報やデマをネット上に拡散すれば、自分の立場を悪くするだけでなく、他人にも迷惑をかけてしまいます。必ず公的機関のWebサイトといった信用できる情報源を参照するようにし、真偽が定かではない情報を拡散しないようにしましょう。

他者に注意を呼び掛ける際にも注意が必要です。その注意喚起自体がデマの拡散を助長する場合もあるためです。また、スパムメールから誘導される詐欺サイトには信ぴょう性を高める演出として受信者のメールアドレスが載せられることもあります。このため、受信者が大勢の人に注意を呼びかけようと詐欺サイトをネットに公開すると、不特定多数にメールアドレスを知られてしまう可能性があります。スパムメールや不正なメッセージを受信した場合、偽装されている企業やサービス事業者に通知するか、関連機関に報告しましょう。

スパムメールや不正なメッセージをブロックする方法

メールを用いた攻撃の手口は日々巧妙化しています。これまで解説した手口や対策を理解していても、届いたメールの内容をひとつずつチェックしてどのメールがスパムメールなのか判断することは困難です。

このため、メールセキュリティ対策として、スパムメールや不正なメッセージが手元に届く前にブロックする仕組みを取り入れることが重要となります。

Email Security R2 あんしんプラスは、メールに特化したクラウド型セキュリティサービスです。
メール本文や添付ファイルを解析し、不正なメールはクラウドで隔離するため「メールの本文だけでは判別がつかず、不正なURLをクリックしてしまった」「添付ファイルを開いてしまい、PCがウイルスに感染してしまった」といったセキュリティ事故を防ぐことができます。

こちらのバナーからサービスの内容をご覧いただけます。

30日間の無料トライアルを実施することもできますので、ぜひ一度ご体感ください。