なりすましメールとは？手口と対策について詳しく解説！

（※この記事は、2024年2月1日に更新されました。）

デジタル社会の現代において、買い物やお店の予約など、日々の生活はほとんどがパソコンや携帯で済ませることができるようになりました。

何でもデジタル処理できるというのは「注文するためにわざわざお店に出向かなくてもいい」とか「購入履歴をチェックできる」などの様々なメリットがありますが、便利な半面、何かしらの不具合が起こると色々な方面に影響が出る可能性があります。

そしてその「不具合」の一つに挙げられるのが「なりすましメール被害」です。

いつも使うオンラインショップになりすましたメールが来て、何の疑いもなくそれを開いたらウイルスに感染したり、カード会社になりすましたメールでカード情報を入力してしまったなど被害例はさまざまです。

また、最近は手口がどんどん巧妙になって来ているので、そのような被害に遭わないようにするには十分な知識と対策が必要です。

そこで本記事では、なりすましメールについて、その事例や対策などについて解説します。

なりすましメールとは

なりすましメールとは、悪意のある第三者が、企業や団体に「なりすまして」送信するメールを指し、詐欺メールと呼ばれることもあります。　

なりすましのよくある例としては、

• 実在する企業や団体

• 知り合い

• 有名人など、多くの人が信頼している人

などが挙げられ、受信者に馴染みのあるような人や組織になりすまして巧みな文言で信じ込ませ、そこで受信者のデバイスをウイルス感染させて個人情報を入手したり、架空請求をしてお金を騙し取ったりします。

それでもほとんどの人が「そんなに簡単に騙されるわけがない」と思うかもしれませんが、なりすましメールは日々進化しており、どんどん本物と区別できにくくなっています。

では、具体的にどのようにしてなりすましメールが送られてくるのか見てみましょう。

なりすましメールの例

行政や金融機関を装った架空請求

よくあるなりすましメールの一つに「行政や金融機関を装ったメール」があります。

例えば偽メールのタイトルに「口座凍結」や「未払い分の督促」などの文言を含め、さも「今すぐお金を払わないと大変なことになる」ように受信者側の不安を煽って、架空の請求分を支払わせる手口です。

冷静に見たらそれが「なりすましメール」だとわかるかもしれませんが、いきなり「督促」や「口座凍結」などを目にすると慌ててしまって平常心を保てなくなる人が多いのではないでしょうか。

なりすましメールは、まさにそういったところを突いてくるのです。

クレジットカード会社を装った個人情報の盗み出し

ここ数年は、コロナ禍で家にいることが増えたこともあり、家にいながらお買い物や出前をするのが益々一般的になりました。

また、外でもキャッシュレスが進み、電子マネーやクレジットカードでの支払いが主流になりつつあります。

大抵のカード利用者は、カードで払ったらその明細がメールで送られてくると思いますので、その中になりすましメールが入り込んでも気づきにくいかもしれません。

カード会社を装ったメールでよくあるのが、「【重要】カード利用に関するお知らせ」や「【至急】確認をお願いします」など、緊急性を強調して、受信者を慌てさせるメールです。

金融機関のなりすましメールのように、受信者を慌てさせて、正常な判断ができにくくなるようなメールを送って信じ込ませ、まんまとお金やカード番号などの個人情報を騙し取るという手口です。

カード会社からのメールを日常的に受け取っている人だと、なりすましメールが紛れていても気付かずにそのメールを本物だと信じ込んでしまうかもしれません。

プロバイダやサブスクなどのなりすましによるフィッシングメール

契約しているインターネットのプロバイダや動画配信サービスなどになりすまして、「パスワードの再設定を下記の URL からお願いします」や「ID の確認が必要です」などと言ったメールを送り、「（これをしないと）サービスが停止してしまうかもしれない」と思い込ませてフィッシングサイトに誘導し、個人情報を盗み出すという手口です。

これもやはり、「サービスを止められたら困る」など、受信者側に不都合な結果がもたらされるように思い込ませて、目的のものを盗み出すという仕組みです。

このような手口は日々巧妙になって来ているので、こちらもしっかり勉強して対策を取らないといけません。

では、どのようなことに気をつければ被害者にならずに済むのでしょうか。

なりすましメールの対策

なりすましメールの仕組みがますます複雑に、そして巧妙になっているとはいえ、なす術がないわけではありません。

以下のような対策を行うことで、なりすましメールによる被害を回避することができます。

• 送信元のメールや添付されたリンクのアドレスをチェックする

• 添付された URL やファイルを安易に開かない

• メールの内容を確認する

• ２FA（二段階認証）を設定する

• パスワードを複雑にする

送信元のメールや添付されたリンクのアドレスをチェックする

メールは「なりすまし」で本物ではないので、メールアドレスやメールに添付されたWeb サイドのアドレスは偽物なはずです。

よく見てみてください。例えば小文字の「l（エル）」が大文字の「I（アイ）」になっていたり、小文字の「m」が「rn（r と n）」になっていたりしてませんか。

また、Web サイトのアドレスも例えば「google.com」が「g.google.com」などになっていませんか。

すごく細かい違いなので、注意してチェックしてみてください。

また、迷惑メールや存在しないドメインになりすましたメールを拒否できるように、メール設定でなりすましメールを拒否設定にしておくのも対策の一つとなるでしょう。

添付された URL やファイルを安易に開かない

これは必ず頭に入れておいてください。記載されている内容が本物に思えても、必ず疑ってみてください。

なりすましメールを安易に開くことで顧客情報流出などの大きな事故になることもあります。

まずは冷静になって、そのメールの送信元・送信者を調べましょう。

そしてその際、送信元への直接返信による問い合わせは絶対に避けましょう。

メールの内容を確認する

例えばカスタマーサポートからのメールが来たとします。

本物だったらきちんと担当者の名前や役職が付いているはずです。

これがなりすましメールだと、全部とは言えませんが、「カスタマーサポート担当」など、個人が特定されないような書き方になっていることが多いです。

内容が曖昧だったり、担当者の名前がなかったりしていないか、きちんとメールの内容に目を通しましょう。

２FA（二段階認証）を設定する

テクノロジーの面では、なりますしメールの有効な対策の一つとして、２FA（二段階認証）が挙げられます。

２FA の設定をしていると追加の認証が必要になるため、万が一なりすましメールに騙されて、例えばパスワードを盗まれるようなことがあっても、不正アクセスの防止に繋がります。

その際は、パスワード管理ツールを利用するのがオススメですが、その中でも Teampassword  の２FA だと、マスターパスワードに加えて Google Authenticator のコードが要求されるので、それでセキュリティが一層強化されます。

パスワードを複雑にする

２FAに加えて、設定しているパスワードを複雑にするのも効果があります。

巧妙な手口で攻撃してくるなりすましメールに万が一引っかかったとしても、複雑なパスワードが設定されていれば、パスワードを解読される確率は下がります。

ただ、「文字と数字と記号を含めた１２文字以上」と推奨されてている「複雑なパスワード」を自分で考えるのは、時間も労力もかかって大変です。

そこでTeampassword のパスワード生成機能を使えば、強固で複雑なパスワードがすぐにいくつでも無料で作れます。

また、Teampassword にはパスワードの強度をチェックする機能もあるので、現時点で使っているパスワードの強度をチェックして、弱ければパスワード生成器で作り直すことができます。

Teampassword でなりすましメールから身を守ろう

なりすましメールに引っかからないことが大前提ですが、万が一引っかかったとしても、Teampassword などの強固なパスワード管理ツールを使って個人情報の保護などのセキュリティをしっかりしていれば、被害を回避することは不可能ではありません。

今こうしてる間にも、なりすましメールの脅威はどんどん近づいてきています。

被害者にならないために、今すぐしっかりした対策をしていきましょう。

Teampassword についての詳しい情報をご希望の方は、無料トライアルで Teampassword の強固なセキュリティ機能をぜひご体験ください。