Quotes Icon

Andrew M.

Andrew M.

オペレーション担当副社長

"私たちは小規模な非営利団体のためにTeamPasswordを使用していますが、私たちのニーズにうまく対応しています。"

今すぐ始める

Table Of Contents

    ハッカーがメールアドレスを悪用したら起きることとは?|TeamPasswordで対策

    ハッカーがメールアドレスを悪用したら起きることとは?|TeamPasswordで対策

    October 21, 20241 min read

    サイバーセキュリティ

    オンラインコミュニケーションの拠点として、メールよりも、Slack や SNS などのプラットフォームを使う人が多いのではないでしょうか。しかし、それらプラットフォームのサービスを利用するには、メールアドレスが必要なことを忘れてはなりません。

    メールは今でも本人認証のために用いられる主要なツールであり、パスワードのリセット、2FAの認証、他のメールのバックアップ検証など、数え上げればきりがないほど使われています。家族や友人は、明らかに疑わしい内容でない限り、あなたからのメールを受け取ったところで何とも思わないほどです。

    最近の調査によると、メール詐欺はサイバー犯罪の中で最も被害額が大きいものであり、その被害総額は2021年だけで24億ドル近くにのぼります。他の詐欺やサイバー犯罪と比較して被害が大きくなっている理由の一つは、メール詐欺がかなり巧妙な手口で行われている点です。

    そこで本記事では、サイバー犯罪者がメールアドレスを利用して行う悪質な行為5つと、自分の身を守るために今すぐできる対策を5つご紹介します。

    Table of Contents

      メールアドレス悪用について

      私たちがアカウントを作成したり、オンラインでコミュニケーションをとるたびに、メールアドレスはウェブ上に流出しています。そして、相手に教えたことを忘れたり、情報漏えいや不正アクセスによって、メールアドレスは目の届かないところまで流出してしまうのです。

      メールアドレスなしでは、オンライン上で何もできないと言っても過言ではない現状において、私たちもメールアドレスが個人情報の一部であるということをつい忘れてしまっているのではないでしょうか。

      しかし、メールがどのように悪用されるかを理解すれば、この記事の最後にあるヒントを参考に、自身のメールアドレスの安全を確保することができるようになります。

      ハッカーがメールアドレスを悪用する方法

      サイバー犯罪者があなたのメールアドレスを欲しがる理由はたくさんあります。ミカ・アールト氏が Spiceworks に語ったように、「不正アクセスは全て悪質なメールから始まる」のです。

      では、メールアドレスの悪用はどのようにして行われるのでしょうか。

      1.なりすましメールで家族や友人を騙す

      「なりすましメール」とは、詐欺師がコードを使ってメールのヘッダーを操作し、そのドメインから来たものではないにもかかわらず、正当なドメインを表示させてしまうものです。

      また、「スプーフィング」という用語が、例えば、[email protected](microsoft に見せかけて実は rncrosoft(RNCROSOFT) )のように、受信者を欺くために作られたそっくりなメールを指すこともあります。メールを受信したとき、自らが意識して送信者(From)アドレスを確認しない限り、脳が「r」と「n」を「m」と「i」に自動変換している可能性が大いにあります。そして、これこそが詐欺師の狙いなのです。

      Unicode Inspector

      ちなみにですが、 unicode inspector は、そっくりな外国文字やその他のトリックをキャッチするのに最適なツールです。

      別の例を見てみましょう。あなたの友人である Ian([email protected]) からメールが届きました。

      メールプロバイダーはメールアドレスを小文字で表示しますが、私たちの脳は、Ianの「I」が大文字であっても違和感を感じることはないと思います。このメールをunicode inspector に貼り付けてやっと、大文字の「I」ではなく小文字の「L」が使われていることに気づくのです。

      なりすましメールについて詳しく知りたい方は、ThioJoeの動画で、詐欺師がどのようにあなたを騙そうとするかの詳しい例が多数あるので、ぜひご覧ください。

      2.オンラインアカウントにハッキングする

      前述したように、メールアドレスは全てのオンラインアカウントへの個人的なログイン認証の基盤となっています。

      専門家の多くは、様々なオンラインアプリケーション用に少なくともメールアドレスを4つ持つことを推奨しており、そうすることで1つのアカウントが危険にさらされても被害を最小限に抑えることができると語っています。

      ハッカーは、あなたの身元に一致するメールアドレスを確認すると、無数のアカウントでパスワードと組み合わせてログインを試みることができる、「クレデンシャルスタッフィング攻撃」と呼ばれるサイバー攻撃を行います。

      以下で詳しく説明しますが、パスワードを使い回さず、常に2FAを使うことが、自分自身を守る最善策になります。

      3.自分や周りをソーシャルエンジニアリングするために個人情報を集める。

      メールというのは、あなたが思っている以上に自身の個人情報をさらけ出します。SNS から Spotify のアカウント、勤務先まで、あらゆることを突き止めることができるのです。

      ハッカーは、あなたの電話番号とメールアドレスを一致させると、高度なソーシャル・エンジニアリング攻撃を行う準備が整います。個人情報が十分に揃えば、なりすましによって、あなたやあなたの知り合いになりすますことができるようになります。

      さらに、あなたのメールをハッキングすれば、あなたになりすましたメールを送ることもできてしまいます。

      ダークウェブ

      また、あなたのメールアドレスは、ダークウェブで、関連する流出した個人情報や盗まれた個人情報の特定および購入に使われる可能性があります。

      haveibeenpwned などのサイトをチェックして、自分の情報が出回っていないかどうかを確認しましょう。Echosec などのサービスによるリアルタイムでのモニタリングも可能です。

      4.個人メールをハッキングし、オンラインと対人での生活を危険にさらす

      メールはパスワードリセットの主要な認証手段であるため、もし誰かがあなたのメールをハッキングすれば、あなたの全オンラインアカウントのパスワードをリセットすることができてしまい、アカウントは乗っ取られてしまいます。

      一度アカウントの乗っ取り被害に遭えば、ワンクリックで関連するメールアドレスを変更できることが多く、そのアカウントに永遠にアクセスできなくなる可能性もあります。

      サイバー犯罪者は、あなたのメールに届いたチケットやホテルの予約も見ることができます。仮に自宅の住所をスクレイピングした場合は、この情報を使って、あなたの私有財産に手を付けることも可能でしょう。

      5.BEC(ビジネスメール詐欺)

      サイバー犯罪者は、あなたを企業への不正アクセスの突破口として利用したい可能性があります。FBI によると、BECは最も金銭的なダメージの大きいオンライン犯罪の一つです。

      今年発生した多くの不正アクセス事件からわかるように、企業への侵入経路はいくつか考えられますが、BEC 攻撃でよく見られる手口は、CEO やその他の役員を装った緊急メールの送信です。

      従業員は、報復を恐れて、詐欺の疑いのある兆候を見なかったことにし、指示に協力するか、少なくとも添付ファイルを開くか、リンクをクリックします。これだけで、攻撃者は足がかりを得ることができてしまうのです。

      対面以外でのコミュニケーションには最新の注意を払わなければならないことを、一緒に働くすべての人に明確に伝えましょう。ビジネスの安全を守るには、チームでの意識共有が必須です。

      メールを保護する方法

      undefined

      1.2FAを設定する

      2FAを使って、メールアカウントのセキュリティを最大限に高めることができます。もちろん、「重要でない」アカウントであっても、2FAを許可しているアカウントすべてで 2FA の使用をおすすめします。

      セキュリティの専門家は、 SMS ベースの 2FA よりも不正入手がはるかに困難であることから、可能な限りAuthy などのアプリを使って時間ベースのワンタイムパスワードの使用を推奨しています。

      2FAをもうワンランク上のレベルに引き上げたい場合、多くのメールプロバイダーは、Yubikeyなどの物理的なセキュリティキーに対応しているので、そちらを使うのも一つの手です。

      2.パスワードを使い回さない

      「ユニークで強力なパスワードを使いましょう」というフレーズを一度は聞いたことがあると思います。

      私たちは、この点を周知させるべく、さまざまな取り組みを行ってきました。なので、パスワードマネージャを導入し、パスワードを使い回さないようにしましょう。

      同僚やチーム、家族とパスワードを共有している場合、TeamPassword は最も使いやすく安全なパスワード管理ツールの1つで、個人的なデータも簡単に管理することができます。

      無料トライアルを行った方でまだサブスク登録を迷っている方は、ITreviewのレビューをぜひご覧ください。

      もし、個人用のソリューションが必要な場合は、無料のオプションがたくさんあります。

      ボールトの設定には少し時間がかかりますが、これはアカウントの安全性を確保するために止むを得ないことです。パスワードの使い回しは避けるようにしましょう。

      3.メールにサインインしているデバイスを確認する

      Googleアカウントの場合は、【Manage your Google Account (Googleアカウントを管理)】>【Security(セキュリティ)】>【Your Devices(デバイス)】>【manage all devices(すべてのデバイスを管理)】の順にスクロールしてください。

      ただ、この設定の場所は、お使いのメールプロバイダーによって異なる場合があります。

      以前使っていた古いパソコンやデスクトップで、そのまま眠っているアカウントは全てサインアウトまたは削除し、自身が使っているすべてのデバイスがきちんとセキュリティ対策をされている状態が保たれていることが重要です。

      4.情報漏えいの有無を確認する

      Haveibeenpwned などのサイトで、自身のメールやパスワードが不正アクセスや漏えいの対象となっていないかどうか確認してください。

      メールアドレスに大きな影響を及ぼされている場合は、新しいアドレスに移行する必要があるかもしれません。

      また、EchosecWhatsup Gold などのサービスを使えば、リアルタイムでのモニタリングが可能です。

      情報漏洩があったら

      メールアドレスやパスワード、個人情報が流出してしまった場合、その情報が悪用される可能性を最小限にするために、適切な事後措置を取ることが重要です。 

      もし、メールが原因であれば、すぐに連携しているアカウントのパスワードをすべて変更してください。

      サイバー犯罪者は、僅かな突破口を探し当てるためにあなたのメールアドレスを使って何千ものオンラインアカウントの認証を試みます。パスワードの使いまわしは絶対にやめましょう。

      運転免許証、パスポート、マイナンバーが流出した場合は、それぞれ最寄りの公共機関に報告してください。

      情報漏えいの影響を受けないようにするために、それぞれ異なるオンラインアカウントで一時的な仮名を設定し、いつ、どこで情報漏えいしたかをより簡単に特定できるようにしましょう。

      5. 受信トレイをゼロ(に近いもの)にする

      受信トレイをゼロにできていないという方でも、これらの方法を活用することで、メール処理にまつわるストレスを大幅に軽減することができます。

      受信トレイの処理が手に負えないほどのメール数になってしまうと、不審なログインやパスワードリセットのメッセージを見逃してしまうかもしれません。

      また、ストレスや時間に追われている状態だと、なりすましメールや偽装リンクを発見するための注意力が低下してしまいます。

      FAQ

      undefined

      ハッカーは、パスワードでなく私のメールアドレスを利用して、何ができますか?

      • あなたの連絡先に、本人になりすましてフィッシングメールを送り、金銭や個人情報などを要求したり、悪質なリンクを表示させたりします。

      • 不要なサービスやサブスクに登録し、料金を請求したり、迷惑メールを送信したりします。

      • メールアドレスを利用して、氏名、居住地、趣味、インターネット上での行動など、あなたに関する情報を取得します。

      パスワードがなくても、自分のメールアカウントがハッキングされる可能性はありますか?

      悪意のあるリンクをクリックしたり、ウイルス感染した添付ファイルをダウンロードしたり、セキュリティが脆弱なフリーWi-Fiを使用したりすると、パスワードなしでもメールアカウントがハッキングされる可能性があります。

      ハッカーはこうした方法でメールアカウントにアクセスし、あなたの個人情報を盗んだり、アカウントからスパムメッセージを送信したりします。

      これを防ぐには、常に強力なパスワードを使用するほか、2要素認証を有効にしたり、疑わしいメールやウェブサイトを避けたり、公共のフリーWi-Fiに接続する際には安全なVPNを使用したりする必要があります。

      ハッカーはメールアドレスからどれだけの情報を得ることができますか?

      ハッカーは、メールアドレスから名前、所在地、オンラインアカウント、連絡先、そして場合によっては、SNSさえも見つけ出すことができ、これらの情報を使って、フィッシング攻撃や迷惑メール、個人情報の窃取などを行うことができます。

      haveibeenpwnedで、メールアドレスが流出していないかどうか確認してみてください。

      ハッカーはどのようにしてパスワードなしでアカウントに侵入するのでしょうか?

      • フィッシング:本物そっくりの偽装メールやウェブサイトを送り、パスワードやその他の機密情報の入力を要求する。

      • ソーシャルエンジニアリング: 信頼できる人物や助けを必要としている人物になりすまして、パスワードやその他の情報を提供するよう騙す。

      • マルウェア:あなたのデバイスに悪意のあるソフトウェアをインストールし、キーストロークを記録したり、データを盗んだり、ハッカーがデバイスを遠隔操作できるようにする。

      • アプリのパーミッション: 自身がアカウントへのアクセスを許可したアプリを悪用し、あなたの代わりに投稿、送信、変更などを行う。

      これらの攻撃から身を守るには、

      • アカウントごとに異なるパスワードを使用する

      • パスワードマネージャーを使用する

      • メールの2要素認証を有効にする

      • 怪しいリンクや添付ファイルをクリックしない

      • ソフトウェアを定期的にアップデートする

      • 使用していない、または信頼していないアプリへのアクセスを取り消す

      などの対策が必要です。

      TeamPassword がメールやアカウントを安全に保つ方法

      TeamPassword は、暗号化されたパスワードなどの認証情報を簡単に保存、更新、共有できます。

      undefined

      パスワードマネージャーにログイン情報を保存しておけば、万が一、メールが漏洩した場合でも被害を最小限に抑えることができます。

      パスワードマネージャーを使わない場合、パスワードをエクセルに保存して他の人への添付メールの送信や、Google シートへの保存をすることで、Googleアカウントに侵入された時に不法アクセスされてしまう可能性があります。

      14日間無料でお試しいただき、ぜひご感想をお聞かせください。ご意見、ご質問はチャット機能(画面右下のアイコン)で随時受け付けております。

      パスワードの安全性を高める

      パスワードを生成し、正しく管理させるための最適なソフトウェア

      TeamPassword Screenshot
      facebook social icon
      twitter social icon
      linkedin social icon
      関連記事
      SQLインジェクションとは?リスクと対策方法について詳しく解説

      サイバーセキュリティ

      October 31, 20241 min read

      SQLインジェクションとは?リスクと対策方法について詳しく解説

      現代のデジタル社会で脅威となる SQL インジェクションのリスクと具体的な対策方法を見ていきます。また、TeamPassword の活用法もチェックして、セキュリティを強化するポイントを押さえましょう。

      リスクベース認証がサイバー攻撃からビジネスを守る5つの方法

      サイバーセキュリティ

      October 17, 20241 min read

      リスクベース認証がサイバー攻撃からビジネスを守る5つの方法

      リスクベース認証は、継続的なリスク評価を利用してユーザーのログイン認証情報とアクセス許可を決定するインテリジェントな検証システムです。本記事では、リスクベース認証をサイバーセキュリティの脅威からビジネスを守るのにどのように活用できるかについて解説します。

      タリーズが受けたサイバー攻撃の経緯と概要

      ニュース

      October 10, 20241 min read

      タリーズが受けたサイバー攻撃の経緯と概要

      本記事では、タリーズコーヒーが受けたサイバー攻撃について、事件の影響や企業の対応策を詳しく解説します。また、顧客の信頼回復に向けた取り組みや、今後のセキュリティ対策についても触れ、私たち自身が気をつけるべきポイントについても見ていきます。

      最新情報をお見逃しなく!

      このような投稿をもっと読みたい方は、ブログを購読してください。

      Promotional image