ハッカーがメールアドレスを悪用したら起きることとは？｜TeamPasswordで対策

オンラインコミュニケーションの拠点として、メールよりも、Slack や SNS などのプラットフォームを使う人が多いのではないでしょうか。しかし、それらプラットフォームのサービスを利用するには、メールアドレスが必要なことを忘れてはなりません。

メールは今でも本人認証のために用いられる主要なツールであり、パスワードのリセット、2FAの認証、他のメールのバックアップ検証など、数え上げればきりがないほど使われています。家族や友人は、明らかに疑わしい内容でない限り、あなたからのメールを受け取ったところで何とも思わないほどです。

最近の調査によると、メール詐欺はサイバー犯罪の中で最も被害額が大きいものであり、その被害総額は２０２１年だけで２４億ドル近くにのぼります。他の詐欺やサイバー犯罪と比較して被害が大きくなっている理由の一つは、メール詐欺がかなり巧妙な手口で行われている点です。

そこで本記事では、サイバー犯罪者がメールアドレスを利用して行う悪質な行為５つと、自分の身を守るために今すぐできる対策を５つご紹介します。

メールアドレス悪用について

私たちがアカウントを作成したり、オンラインでコミュニケーションをとるたびに、メールアドレスはウェブ上に流出しています。そして、相手に教えたことを忘れたり、情報漏えいや不正アクセスによって、メールアドレスは目の届かないところまで流出してしまうのです。

メールアドレスなしでは、オンライン上で何もできないと言っても過言ではない現状において、私たちもメールアドレスが個人情報の一部であるということをつい忘れてしまっているのではないでしょうか。

しかし、メールがどのように悪用されるかを理解すれば、この記事の最後にあるヒントを参考に、自身のメールアドレスの安全を確保することができるようになります。

サイバー犯罪者があなたのメールアドレスを欲しがる理由はたくさんあります。ミカ・アールト氏が Spiceworks に語ったように、「不正アクセスは全て悪質なメールから始まる」のです。

1. なりすましメールで家族や友人を騙す

「なりすましメール」とは、詐欺師がコードを使ってメールのヘッダーを操作し、そのドメインから来たものではないにもかかわらず、正当なドメインを表示させてしまうものです。

1. 改ざんされたメールヘッダー

詐欺師はメールヘッダーを改ざんし、実際には正当なドメイン（例：[email protected]）から送信されていないにもかかわらず、あたかもそのドメインから送信されたように見せかけます。詐欺師はメールヘッダーを改ざんし、実際には正当なドメイン（例：[email protected]）から送信されていないにもかかわらず、あたかもそのドメインから送信されたように見せかけます。

2. 本物そっくりのアドレス

攻撃者は、正当なアドレスを巧妙に模倣したメールアドレスを作成し、微妙な視覚的手法であなたを欺こうとします。

• 例1：[email protected]
  • 詐欺師は「r」と「n」を組み合わせて「m」を模倣しています。意識的に確認しない限り、脳が自動的にそのアドレスを正しく認識してしまう可能性があります。
    ツールのヒント：類似した外国語文字やその他の操作を検出するには、Unicode Inspectorの使用がおすすめです。
• 例2：[email protected]
  • 小文字のメールアドレスが標準ですが、攻撃者は大文字小文字の区別を利用し、差異を曖昧にすることがあります。ここでは、小文字の「L」が「i」と誤認される可能性があります。

なりすましの見分け方と対策

• メールアドレスの確認方法：送信者の名前またはメールアドレスにカーソルを合わせると、実際の形式が表示されます。
• ツールの活用：Unicodeインスペクターを使用すると、見た目が似ている文字を識別できます。
• 知識を深める：ThioJoeによる以下の動画のような詳細なチュートリアルを見て、なりすましの手法を実際に確認しましょう。

2. オンラインアカウントにハッキングする

メールアドレスは、多くの場合オンライン上の個人識別の基盤であり、ほとんどのアカウントへの鍵として機能します。これが侵害されると、広範囲にわたる被害につながる可能性があります。

メールが重要な理由

• メール＝マスターキー：ほとんどのオンラインアカウントは、ログイン認証やパスワード再設定にメールを依存しています。
• 単一障害点のリスク：あらゆるサービスで同じメールを使用すると、攻撃に対してより脆弱になります。

一般的なサイバー攻撃：クレデンシャルスタッフィング

• 概要：ハッカーが盗んだパスワードや推測したパスワードとあなたのメールアドレスを組み合わせて、複数のプラットフォームでログインを試みます。
• 手口：攻撃者がメールアドレスを確認すると、自動化されたツールを用いて何千ものパスワードの組み合わせでログインを試行します。

自身を守る方法

1. メールアドレスを分散する：

以下の用途ごとに少なくとも4つの別々のメールアドレスを使用しましょう。

• 銀行・金融関連
• ショッピング・定期購読
• ソーシャルメディア
• その他各種アカウント

これにより、1つのメールアドレスが侵害された場合の被害を軽減できます。

2. パスワードの再利用は絶対に避ける：

各アカウントには固有の強力なパスワードを設定し、連鎖的な侵害を防ぎましょう。

3. 二要素認証（2FA）を有効にする：

セキュリティ強化のため、認証アプリやハードウェアキーなど、利用可能な最も強力な2FAオプションを常に使用してください。

３．自分や周りをソーシャルエンジニアリングするために個人情報を集める

メールアドレスは、あなたが思っている以上に多くの情報を漏らしています。ソーシャルメディアからSpotifyアカウント、勤務先まで、あらゆる情報を追跡するために利用される可能性があります。ハッカーが電話番号とメールアドレスを照合できれば、高度なソーシャルエンジニアリング攻撃を仕掛ける準備が整います。十分な個人情報が揃えば、なりすましによってあなたや知人を巧妙に装うことが可能です。さらにメールアカウントそのものをハッキングされれば、あなたになりすまして説得力のあるメールを送信される危険性があります。

さらに、あなたのメールアドレスはダークウェブ上で、漏洩・盗難された関連個人情報を特定・購入するために利用される可能性さえあります。

• haveibeenpwned などのサイトをチェックして、自分の情報が出回っていないかどうかを確認しましょう。
• Echosec などのサービスによるリアルタイムでのモニタリングも可能です。

４．個人メールをハッキングし、オンラインと対人での生活を危険にさらす

メールはパスワードリセットの主要な認証手段であるため、もし誰かがあなたのメールをハッキングすれば、あなたの全オンラインアカウントのパスワードをリセットすることができてしまい、アカウントは乗っ取られてしまいます。

一度アカウントの乗っ取り被害に遭えば、ワンクリックで関連するメールアドレスを変更できることが多く、そのアカウントに永遠にアクセスできなくなる可能性もあります。

サイバー犯罪者は、あなたのメールに届いたチケットやホテルの予約も見ることができます。仮に自宅の住所をスクレイピングした場合は、この情報を使って、あなたの私有財産に手を付けることも可能でしょう。

５．BEC（ビジネスメール詐欺）

サイバー犯罪者は、あなたを企業への不正アクセスの突破口として利用したい可能性があります。FBI によると、BECは最も金銭的なダメージの大きいオンライン犯罪の一つです。

過去に発生した多くの不正アクセス事件からわかるように、企業への侵入経路はいくつか考えられますが、BEC 攻撃でよく見られる手口は、CEO やその他の役員を装った緊急メールの送信です。

従業員は、報復を恐れて、詐欺の疑いのある兆候を見なかったことにし、指示に協力するか、少なくとも添付ファイルを開くか、リンクをクリックします。これだけで、攻撃者は足がかりを得ることができてしまうのです。

対面以外でのコミュニケーションには最新の注意を払わなければならないことを、一緒に働くすべての人に明確に伝えましょう。ビジネスの安全を守るには、チームでの意識共有が必須です。

メールを保護する方法

１．2FAを設定する

2FAを使って、メールアカウントのセキュリティを最大限に高めることができます。もちろん、「重要でない」アカウントであっても、2FAを許可しているアカウントすべてで 2FA の使用をおすすめします。

セキュリティの専門家は、 SMS ベースの 2FA よりも不正入手がはるかに困難であることから、可能な限りAuthy などのアプリを使って時間ベースのワンタイムパスワードの使用を推奨しています。

2FAをもうワンランク上のレベルに引き上げたい場合、多くのメールプロバイダーは、Yubikeyなどの物理的なセキュリティキーに対応しているので、そちらを使うのも一つの手です。

２．パスワードを使い回さない

「ユニークで強力なパスワードを使用する」というアドバイスは重要ですが、数十もの複雑なパスワードを自分で作成し記憶するのは現実的ではありません。そこでパスワードマネージャーが必須ツールとなります。

パスワードマネージャーは、すべてのアカウント向けに強力でユニークなパスワードを生成・保存し、自動入力します。これによりパスワードの再利用問題を解決し、記憶の負担を軽減します。

選択時には、自身のニーズを考慮してください。

• 同僚との共同作業や家族との共有には、安全な共有を目的としたチームベースの管理ツールを選びましょう。例えばTeamPasswordはこの目的に特化して設計されています。
• 個人利用の場合、個人のアカウントを保護できる優れた無料または低コストの選択肢が多数存在します。

最も重要なステップは、信頼できる管理ツールを選び、それを継続的に使用することです。初期設定には多少の時間が必要ですが、セキュリティ面での見返りは非常に大きいです。

３．メールにサインインしているデバイスを確認する

Googleアカウントの場合は、【Manage your Google Account （Googleアカウントを管理）】＞【Security（セキュリティ）】＞【Your Devices（デバイス）】＞【manage all devices（すべてのデバイスを管理）】の順にスクロールしてください。

ただ、この設定の場所は、お使いのメールプロバイダーによって異なる場合があります。

以前使っていた古いパソコンやデスクトップで、そのまま眠っているアカウントは全てサインアウトまたは削除し、自身が使っているすべてのデバイスがきちんとセキュリティ対策をされている状態が保たれていることが重要です。

４．情報漏えいの有無を確認する

Haveibeenpwned などのサイトで、自身のメールやパスワードが不正アクセスや漏えいの対象となっていないかどうか確認してください。メールアドレスに大きな影響を及ぼされている場合は、新しいアドレスに移行する必要があるかもしれません。また、Echosec や Whatsup Gold などのサービスを使えば、リアルタイムでのモニタリングが可能です。

メールアドレスやパスワード、個人情報が流出してしまった場合、その情報が悪用される可能性を最小限にするために、適切な事後措置を取ることが重要です。 

もし、メールが原因であれば、すぐに連携しているアカウントのパスワードをすべて変更してください。サイバー犯罪者は、僅かな突破口を探し当てるためにあなたのメールアドレスを使って何千ものオンラインアカウントの認証を試みます。パスワードの使いまわしは絶対にやめましょう。

運転免許証、パスポート、マイナンバーが流出した場合は、それぞれ最寄りの公共機関に報告してください。

情報漏えいの影響を受けないようにするために、それぞれ異なるオンラインアカウントで一時的な仮名を設定し、いつ、どこで情報漏えいしたかをより簡単に特定できるようにしましょう。

５. 受信トレイをゼロ（に近いもの）にする

たとえ受信箱ゼロの習慣を完全に実践できなくても、その戦略の多くを活用すればメール処理に伴うストレスを大幅に軽減できます。受信箱が管理不能な状態だと、不審なログイン試行やパスワード再設定の通知を見逃す可能性があります。さらに、ストレスを感じながらメールを処理していると、偽装メールや不正リンクを見抜くために必要な注意深さや細部への配慮が欠けてしまいます。

受信箱ゼロの習慣を始めるためのヒントをいくつかご紹介します。

• メール対応のための時間を確保：一日中、絶えずメールをチェックするのはやめましょう。受信トレイに対応するための時間を具体的にスケジュールに組み込んでください。
• メールをまとめて処理：メール一つひとつに個別に対応するのではなく、グループごとにまとめて確認することで効率が上がります。
• トリアージ（優先順位付け）システムを導入：メールを「削除」「アーカイブ」「返信」「後回し」の4つに素早く分類しましょう。
• フィルターとラベルを活用：特定の送信者や件名ごとにフィルターを設定し、ラベルを使ってメールを簡単に分類しましょう。
• 不要なメールの配信を停止：価値を感じなくなったニュースレターや宣伝メールは購読を解除し、受信トレイを整理しましょう。
• 2分ルールを実践：2分以内に返信できるメールは、すぐにその場で対応しましょう。

FAQ

ハッカーは、パスワードでなく私のメールアドレスを利用して、何ができますか？

• あなたの連絡先に、本人になりすましてフィッシングメールを送り、金銭や個人情報などを要求したり、悪質なリンクを表示させたりします。

• 不要なサービスやサブスクに登録し、料金を請求したり、迷惑メールを送信したりします。

• メールアドレスを利用して、氏名、居住地、趣味、インターネット上での行動など、あなたに関する情報を取得します。

パスワードがなくても、自分のメールアカウントがハッキングされる可能性はありますか？

悪意のあるリンクをクリックしたり、ウイルス感染した添付ファイルをダウンロードしたり、セキュリティが脆弱なフリーWi-Fiを使用したりすると、パスワードなしでもメールアカウントがハッキングされる可能性があります。

ハッカーはこうした方法でメールアカウントにアクセスし、あなたの個人情報を盗んだり、アカウントからスパムメッセージを送信したりします。

これを防ぐには、常に強力なパスワードを使用するほか、2要素認証を有効にしたり、疑わしいメールやウェブサイトを避けたり、公共のフリーWi-Fiに接続する際には安全なVPNを使用したりする必要があります。

ハッカーはメールアドレスからどれだけの情報を得ることができますか？

ハッカーは、メールアドレスから名前、所在地、オンラインアカウント、連絡先、そして場合によっては、SNSさえも見つけ出すことができ、これらの情報を使って、フィッシング攻撃や迷惑メール、個人情報の窃取などを行うことができます。

haveibeenpwnedで、メールアドレスが流出していないかどうか確認してみてください。

ハッカーはどのようにしてパスワードなしでアカウントに侵入するのでしょうか？

• フィッシング：本物そっくりの偽装メールやウェブサイトを送り、パスワードやその他の機密情報の入力を要求する。

• ソーシャルエンジニアリング： 信頼できる人物や助けを必要としている人物になりすまして、パスワードやその他の情報を提供するよう騙す。

• マルウェア：あなたのデバイスに悪意のあるソフトウェアをインストールし、キーストロークを記録したり、データを盗んだり、ハッカーがデバイスを遠隔操作できるようにする。

• アプリのパーミッション： 自身がアカウントへのアクセスを許可したアプリを悪用し、あなたの代わりに投稿、送信、変更などを行う。

これらの攻撃から身を守るには、

• アカウントごとに異なるパスワードを使用する

• パスワードマネージャーを使用する

• メールの2要素認証を有効にする

• 怪しいリンクや添付ファイルをクリックしない

• ソフトウェアを定期的にアップデートする

• 使用していない、または信頼していないアプリへのアクセスを取り消す

などの対策が必要です。

TeamPassword がメールやアカウントを安全に保つ方法

パスワードのベストプラクティスを実践するのがあまりに難しい場合、チームも自分自身も実行しません。TeamPasswordなら、認証情報を暗号化された環境から外すことなく、簡単に保存・更新・共有できます。

ログイン認証情報をパスワードマネージャーに保存することで、メールアカウントが侵害された場合の被害を最小限に抑えられます。パスワードマネージャーを使用しない人は、Excelスプレッドシートにパスワードを保存して他人にメールで送信したり、Googleアカウントが侵害された場合にアクセス可能なGoogleスプレッドシートに保存したりする可能性があります。

TeamPasswordは、中小企業やデジタルマーケティング代理店向けに特化した究極のパスワードマネージャーです。パスワード管理と安全なチームアクセスの確保という日々の苦労を理解しています。当社のソリューションは、独自のビジネスニーズに合わせて柔軟なパスワード管理を提供します。

• 統合型TOTP認証機能：TeamPassword 内で時間ベースのワンタイムパスコードを直接生成できるため、携帯電話に別の認証アプリを入れる必要がなくなります。
• 強制的な2要素認証：組織内の全ユーザーに2要素認証を義務付けることができ、一貫して高いセキュリティ基準を確保します。
• 詳細なアクティビティログ：誰が、いつ、何にアクセスしたかの完全な監査記録を保持し、セキュリティ監査や説明責任の遂行に役立ちます。
• 無制限の記録とグループ：ログイン情報を無制限に保存し、チーム、プロジェクト、クライアントといった論理的なグループに整理することで、簡単にアクセス・管理ができます。
• 複数のユーザー役割：閲覧、編集、作成といった権限を詳細に割り当て、必要な人だけにアクセスを許可することができます。
• 無料のGoogle サインイン：チームの既存の Google アカウントを使って、ワンクリックで安全にログインできるため、オンボーディングと日々のアクセスが簡素化されます。
• ワンタイム共有：外部の協力者やパートナーに、1つのパスワードを期間限定で安全に共有できます。これにより、あなたの記録への永続的なアクセスを許可することなく、必要な時だけ情報を提供できます。

まずは14日間無料でお試しいただき、ぜひご感想をお聞かせください。