ハッカーがメールアドレスを悪用したら起きることとは？｜TeamPasswordで対策

オンラインコミュニケーションの拠点として、メールよりも、Slack や SNS などのプラットフォームを使う人が多いのではないでしょうか。しかし、それらプラットフォームのサービスを利用するには、メールアドレスが必要なことを忘れてはなりません。

メールは今でも本人認証のために用いられる主要なツールであり、パスワードのリセット、2FAの認証、他のメールのバックアップ検証など、数え上げればきりがないほど使われています。家族や友人は、明らかに疑わしい内容でない限り、あなたからのメールを受け取ったところで何とも思わないほどです。

最近の調査によると、メール詐欺はサイバー犯罪の中で最も被害額が大きいものであり、その被害総額は２０２１年だけで２４億ドル近くにのぼります。他の詐欺やサイバー犯罪と比較して被害が大きくなっている理由の一つは、メール詐欺がかなり巧妙な手口で行われている点です。

そこで本記事では、サイバー犯罪者がメールアドレスを利用して行う悪質な行為５つと、自分の身を守るために今すぐできる対策を５つご紹介します。

メールアドレス悪用について

私たちがアカウントを作成したり、オンラインでコミュニケーションをとるたびに、メールアドレスはウェブ上に流出しています。そして、相手に教えたことを忘れたり、情報漏えいや不正アクセスによって、メールアドレスは目の届かないところまで流出してしまうのです。

メールアドレスなしでは、オンライン上で何もできないと言っても過言ではない現状において、私たちもメールアドレスが個人情報の一部であるということをつい忘れてしまっているのではないでしょうか。

しかし、メールがどのように悪用されるかを理解すれば、この記事の最後にあるヒントを参考に、自身のメールアドレスの安全を確保することができるようになります。

ハッカーがメールアドレスを悪用する方法

サイバー犯罪者があなたのメールアドレスを欲しがる理由はたくさんあります。ミカ・アールト氏が Spiceworks に語ったように、「不正アクセスは全て悪質なメールから始まる」のです。

では、メールアドレスの悪用はどのようにして行われるのでしょうか。

１．なりすましメールで家族や友人を騙す

「なりすましメール」とは、詐欺師がコードを使ってメールのヘッダーを操作し、そのドメインから来たものではないにもかかわらず、正当なドメインを表示させてしまうものです。

また、「スプーフィング」という用語が、例えば、[email protected]（microsoft に見せかけて実は rncrosoft（RNCROSOFT） ）のように、受信者を欺くために作られたそっくりなメールを指すこともあります。メールを受信したとき、自らが意識して送信者（From）アドレスを確認しない限り、脳が「r」と「n」を「m」と「i」に自動変換している可能性が大いにあります。そして、これこそが詐欺師の狙いなのです。

Unicode Inspector

ちなみにですが、 unicode inspector は、そっくりな外国文字やその他のトリックをキャッチするのに最適なツールです。

別の例を見てみましょう。あなたの友人である Ian（[email protected]） からメールが届きました。

メールプロバイダーはメールアドレスを小文字で表示しますが、私たちの脳は、Ianの「I」が大文字であっても違和感を感じることはないと思います。このメールをunicode inspector に貼り付けてやっと、大文字の「I」ではなく小文字の「L」が使われていることに気づくのです。

なりすましメールについて詳しく知りたい方は、ThioJoeの動画で、詐欺師がどのようにあなたを騙そうとするかの詳しい例が多数あるので、ぜひご覧ください。

２．オンラインアカウントにハッキングする

前述したように、メールアドレスは全てのオンラインアカウントへの個人的なログイン認証の基盤となっています。

専門家の多くは、様々なオンラインアプリケーション用に少なくともメールアドレスを４つ持つことを推奨しており、そうすることで１つのアカウントが危険にさらされても被害を最小限に抑えることができると語っています。

ハッカーは、あなたの身元に一致するメールアドレスを確認すると、無数のアカウントでパスワードと組み合わせてログインを試みることができる、「クレデンシャルスタッフィング攻撃」と呼ばれるサイバー攻撃を行います。

以下で詳しく説明しますが、パスワードを使い回さず、常に2FAを使うことが、自分自身を守る最善策になります。

３．自分や周りをソーシャルエンジニアリングするために個人情報を集める。

メールというのは、あなたが思っている以上に自身の個人情報をさらけ出します。SNS から Spotify のアカウント、勤務先まで、あらゆることを突き止めることができるのです。

ハッカーは、あなたの電話番号とメールアドレスを一致させると、高度なソーシャル・エンジニアリング攻撃を行う準備が整います。個人情報が十分に揃えば、なりすましによって、あなたやあなたの知り合いになりすますことができるようになります。

さらに、あなたのメールをハッキングすれば、あなたになりすましたメールを送ることもできてしまいます。

ダークウェブ

また、あなたのメールアドレスは、ダークウェブで、関連する流出した個人情報や盗まれた個人情報の特定および購入に使われる可能性があります。

haveibeenpwned などのサイトをチェックして、自分の情報が出回っていないかどうかを確認しましょう。Echosec などのサービスによるリアルタイムでのモニタリングも可能です。

４．個人メールをハッキングし、オンラインと対人での生活を危険にさらす

メールはパスワードリセットの主要な認証手段であるため、もし誰かがあなたのメールをハッキングすれば、あなたの全オンラインアカウントのパスワードをリセットすることができてしまい、アカウントは乗っ取られてしまいます。

一度アカウントの乗っ取り被害に遭えば、ワンクリックで関連するメールアドレスを変更できることが多く、そのアカウントに永遠にアクセスできなくなる可能性もあります。

サイバー犯罪者は、あなたのメールに届いたチケットやホテルの予約も見ることができます。仮に自宅の住所をスクレイピングした場合は、この情報を使って、あなたの私有財産に手を付けることも可能でしょう。

５．BEC（ビジネスメール詐欺）

サイバー犯罪者は、あなたを企業への不正アクセスの突破口として利用したい可能性があります。FBI によると、BECは最も金銭的なダメージの大きいオンライン犯罪の一つです。

今年発生した多くの不正アクセス事件からわかるように、企業への侵入経路はいくつか考えられますが、BEC 攻撃でよく見られる手口は、CEO やその他の役員を装った緊急メールの送信です。

従業員は、報復を恐れて、詐欺の疑いのある兆候を見なかったことにし、指示に協力するか、少なくとも添付ファイルを開くか、リンクをクリックします。これだけで、攻撃者は足がかりを得ることができてしまうのです。

対面以外でのコミュニケーションには最新の注意を払わなければならないことを、一緒に働くすべての人に明確に伝えましょう。ビジネスの安全を守るには、チームでの意識共有が必須です。

メールを保護する方法

１．2FAを設定する

2FAを使って、メールアカウントのセキュリティを最大限に高めることができます。もちろん、「重要でない」アカウントであっても、2FAを許可しているアカウントすべてで 2FA の使用をおすすめします。

セキュリティの専門家は、 SMS ベースの 2FA よりも不正入手がはるかに困難であることから、可能な限りAuthy などのアプリを使って時間ベースのワンタイムパスワードの使用を推奨しています。

2FAをもうワンランク上のレベルに引き上げたい場合、多くのメールプロバイダーは、Yubikeyなどの物理的なセキュリティキーに対応しているので、そちらを使うのも一つの手です。

２．パスワードを使い回さない

「ユニークで強力なパスワードを使いましょう」というフレーズを一度は聞いたことがあると思います。

私たちは、この点を周知させるべく、さまざまな取り組みを行ってきました。なので、パスワードマネージャを導入し、パスワードを使い回さないようにしましょう。

同僚やチーム、家族とパスワードを共有している場合、TeamPassword は最も使いやすく安全なパスワード管理ツールの1つで、個人的なデータも簡単に管理することができます。

無料トライアルを行った方でまだサブスク登録を迷っている方は、ITreviewのレビューをぜひご覧ください。

もし、個人用のソリューションが必要な場合は、無料のオプションがたくさんあります。

ボールトの設定には少し時間がかかりますが、これはアカウントの安全性を確保するために止むを得ないことです。パスワードの使い回しは避けるようにしましょう。

３．メールにサインインしているデバイスを確認する

Googleアカウントの場合は、【Manage your Google Account （Googleアカウントを管理）】＞【Security（セキュリティ）】＞【Your Devices（デバイス）】＞【manage all devices（すべてのデバイスを管理）】の順にスクロールしてください。

ただ、この設定の場所は、お使いのメールプロバイダーによって異なる場合があります。

以前使っていた古いパソコンやデスクトップで、そのまま眠っているアカウントは全てサインアウトまたは削除し、自身が使っているすべてのデバイスがきちんとセキュリティ対策をされている状態が保たれていることが重要です。

４．情報漏えいの有無を確認する

Haveibeenpwned などのサイトで、自身のメールやパスワードが不正アクセスや漏えいの対象となっていないかどうか確認してください。

メールアドレスに大きな影響を及ぼされている場合は、新しいアドレスに移行する必要があるかもしれません。

また、Echosec や Whatsup Gold などのサービスを使えば、リアルタイムでのモニタリングが可能です。

情報漏洩があったら

メールアドレスやパスワード、個人情報が流出してしまった場合、その情報が悪用される可能性を最小限にするために、適切な事後措置を取ることが重要です。 

もし、メールが原因であれば、すぐに連携しているアカウントのパスワードをすべて変更してください。

サイバー犯罪者は、僅かな突破口を探し当てるためにあなたのメールアドレスを使って何千ものオンラインアカウントの認証を試みます。パスワードの使いまわしは絶対にやめましょう。

運転免許証、パスポート、マイナンバーが流出した場合は、それぞれ最寄りの公共機関に報告してください。

情報漏えいの影響を受けないようにするために、それぞれ異なるオンラインアカウントで一時的な仮名を設定し、いつ、どこで情報漏えいしたかをより簡単に特定できるようにしましょう。

５. 受信トレイをゼロ（に近いもの）にする

受信トレイをゼロにできていないという方でも、これらの方法を活用することで、メール処理にまつわるストレスを大幅に軽減することができます。

受信トレイの処理が手に負えないほどのメール数になってしまうと、不審なログインやパスワードリセットのメッセージを見逃してしまうかもしれません。

また、ストレスや時間に追われている状態だと、なりすましメールや偽装リンクを発見するための注意力が低下してしまいます。

FAQ

ハッカーは、パスワードでなく私のメールアドレスを利用して、何ができますか？

• あなたの連絡先に、本人になりすましてフィッシングメールを送り、金銭や個人情報などを要求したり、悪質なリンクを表示させたりします。

• 不要なサービスやサブスクに登録し、料金を請求したり、迷惑メールを送信したりします。

• メールアドレスを利用して、氏名、居住地、趣味、インターネット上での行動など、あなたに関する情報を取得します。

パスワードがなくても、自分のメールアカウントがハッキングされる可能性はありますか？

悪意のあるリンクをクリックしたり、ウイルス感染した添付ファイルをダウンロードしたり、セキュリティが脆弱なフリーWi-Fiを使用したりすると、パスワードなしでもメールアカウントがハッキングされる可能性があります。

ハッカーはこうした方法でメールアカウントにアクセスし、あなたの個人情報を盗んだり、アカウントからスパムメッセージを送信したりします。

これを防ぐには、常に強力なパスワードを使用するほか、2要素認証を有効にしたり、疑わしいメールやウェブサイトを避けたり、公共のフリーWi-Fiに接続する際には安全なVPNを使用したりする必要があります。

ハッカーはメールアドレスからどれだけの情報を得ることができますか？

ハッカーは、メールアドレスから名前、所在地、オンラインアカウント、連絡先、そして場合によっては、SNSさえも見つけ出すことができ、これらの情報を使って、フィッシング攻撃や迷惑メール、個人情報の窃取などを行うことができます。

haveibeenpwnedで、メールアドレスが流出していないかどうか確認してみてください。

ハッカーはどのようにしてパスワードなしでアカウントに侵入するのでしょうか？

• フィッシング：本物そっくりの偽装メールやウェブサイトを送り、パスワードやその他の機密情報の入力を要求する。

• ソーシャルエンジニアリング： 信頼できる人物や助けを必要としている人物になりすまして、パスワードやその他の情報を提供するよう騙す。

• マルウェア：あなたのデバイスに悪意のあるソフトウェアをインストールし、キーストロークを記録したり、データを盗んだり、ハッカーがデバイスを遠隔操作できるようにする。

• アプリのパーミッション： 自身がアカウントへのアクセスを許可したアプリを悪用し、あなたの代わりに投稿、送信、変更などを行う。

これらの攻撃から身を守るには、

• アカウントごとに異なるパスワードを使用する

• パスワードマネージャーを使用する

• メールの2要素認証を有効にする

• 怪しいリンクや添付ファイルをクリックしない

• ソフトウェアを定期的にアップデートする

• 使用していない、または信頼していないアプリへのアクセスを取り消す

などの対策が必要です。

TeamPassword がメールやアカウントを安全に保つ方法

TeamPassword は、暗号化されたパスワードなどの認証情報を簡単に保存、更新、共有できます。

パスワードマネージャーにログイン情報を保存しておけば、万が一、メールが漏洩した場合でも被害を最小限に抑えることができます。

パスワードマネージャーを使わない場合、パスワードをエクセルに保存して他の人への添付メールの送信や、Google シートへの保存をすることで、Googleアカウントに侵入された時に不法アクセスされてしまう可能性があります。

14日間無料でお試しいただき、ぜひご感想をお聞かせください。ご意見、ご質問はチャット機能（画面右下のアイコン）で随時受け付けております。