ユーザーから不審メールとして報告された場面において、管理者が報告メールを確認する際のポイントをご紹介します。
※本ページでは、便宜上、脅威である可能性が高いフィッシングメールやビジネス詐欺メール、その他攻撃メールをすべて「攻撃メール」と表現します。
報告メールを確認する時のポイント
送信者名と送信元のメールアドレス(ドメイン)を確認
特に、送信元のメールアドレス(ドメイン)を調査することが効果的です。
- 確認ポイント1
-
- 送信元のメールアドレスのドメインが、 ".cn" や ".com" であるかどうか
- 読み取れる情報
-
- 日本で報告されたフィッシングサイトのURLとして ".cn" や ".com" が使用されているケースは、日本で報告されたフィッシングサイト全体の8割を締めているというデータがあります(出典:フィッシング対策協議会)
- ".com" は健全なWebサイトでも用いられることが多いですが、 ".cn"(中国に割り当てられたトップレベルドメイン)のURLが日本の組織に対して送られることは、業務上の繋がりがある場合を除いて珍しく、また日本においてはフィッシングサイトとして悪用されている ".cn" ドメインが非常に多いため、注視しておくと良いです
- 確認ポイント2
-
- 実在する組織・サービスからのメールである場合、公式のメールアドレスかどうかを確認する
- 読み取れる情報
-
- 実在する組織・サービスの公式メールアドレスでなければ、攻撃メールである可能性が高いと判断できます
- 確認ポイント3
-
- 送信者アドレスのドメインを VirusTotal などのオンラインスキャンサービスで、世にあるアンチウイルス製品が悪意のあるドメインだと判断しているかを確認する(無料かつ、アカウント作成なしの範囲で可能)
- 読み取れる情報
-
- アンチウイルス製品が「マルウェアを検出している」「フィッシングに悪用されている」という結果を提出していたら、攻撃メールである信ぴょう性が高いと判断できます
- 攻撃メールに利用されるドメインには、取得難易度の手軽さから "(意味のないアルファベットの羅列).com" や "(数字3桁).com" のような一定の規則性を読み取れる場合があり、人間の目でも当たりをつけることができる場合もあります
- その他、Gmailなどのフリーメールアドレスが送信元の場合、いわゆる捨て垢の可能性が高いため、攻撃メールである可能性が高いと判断可能です
- アンチウイルス製品が「マルウェアを検出している」「フィッシングに悪用されている」という結果を提出していたら、攻撃メールである信ぴょう性が高いと判断できます
メール件名
- 確認ポイント
- 急かすワード(【重要】【至急】)や、返信を求めるワード(【要返信】)などが積極的に使われているかどうかを確認する
- 読み取れる情報
- 攻撃メールの場合、メールを使用してリンク先への誘導や添付ファイルの開封、返信を誘導する必要があるため、これらを誘導したり急かす言葉が件名(または本文)に散見され、かつ強く強調されている場合、ある程度危険との見方が可能です
- ただし、実際のビジネスシーン上のメールのやり取りでも急を要する場面は存在するため、断定まではできない1つの材料として捉えるのが良いです
- 攻撃メールの場合、メールを使用してリンク先への誘導や添付ファイルの開封、返信を誘導する必要があるため、これらを誘導したり急かす言葉が件名(または本文)に散見され、かつ強く強調されている場合、ある程度危険との見方が可能です
メール本文
確認ポイントとしては、下記を総合的に見て攻撃メールであるかどうか判断するイメージです。
中でも、メール本文内に埋め込まれているURLのリダイレクト先を確認することが最も効果的です。攻撃メールでは、リダイレクト先がフィッシングサイトになっている可能性が最も高いからです。
- 本文の内容全体の確認ポイント
- 件名と同様に、文脈や受信者の前提条件も踏まえ、リンク先への誘導や添付ファイルの開封、返信を誘導する文面かどうかを確認する
- 確認ポイント
- これまでに何通かメールをやり取りしていたような文脈や、受信者が業務上受け取る可能性のある内容のメールが届いた、等のケースに該当するかを確認する
- 例1)受信者が人事部に所属しており、人事の業務上受け取る可能性のある内容のメールが来た、など
- これまでに何通かメールをやり取りしていたような文脈や、受信者が業務上受け取る可能性のある内容のメールが届いた、等のケースに該当するかを確認する
- 読み取れる情報
- 攻撃手法として実際に存在するため、上記のパターンであり、かつ本人が業務上身に覚えがない場合は危険な可能性が高いと判断できる
- 例)リンクの表示や実際の遷移先等
- 攻撃手法として実際に存在するため、上記のパターンであり、かつ本人が業務上身に覚えがない場合は危険な可能性が高いと判断できる
- 確認ポイント
- 「リンクの解析」タブにて、メール本文内にあるリンク(主にドメイン)を確認する
- リンクのテキスト表示と実際の遷移先を意図的に変えているか、遷移先が不審なドメインでないか確認する
- 読み取れる情報
- リンクのドメインが不審なもの(捨てドメインのように見える場合)や、リンクのテキスト表示と実際の遷移先が違っており、違和感を感じる場合は、危険である可能性があると判断できる
- メール本文内にあるリンクも VirusTotal などのオンラインスキャンサービスで確認するのがおすすめです
- その他、本文を読んでいて不審に感じたことやちょっとした違和感や勘もある程度重要と捉えると良いです
- リンクのドメインが不審なもの(捨てドメインのように見える場合)や、リンクのテキスト表示と実際の遷移先が違っており、違和感を感じる場合は、危険である可能性があると判断できる
添付ファイル(添付されている場合)
- 確認ポイント
- セキュリオ上にて、添付ファイルの解析結果を確認する
- +アルファで確認可能なこと(以下対応は注意が必要のため、各お客様責任のもとご対応ください)
- VirusTotal などの外部のセキュリティサービスに当該ファイルをアップロードし、ファイルにマルウェアが仕込まれているかをチェックすることが可能です
- ただし、VirusTotal にアップロードしたファイルは、VirusTotal の有料ユーザーの誰もがダウンロード可能なため、注意が必要です
- 読み取れる情報
- マルウェアが仕込まれているかどうかの確認が可能です
header情報
Received-SPF
- 確認ポイント
- 「spf=認証結果」の値を確認する
- 読み取れる情報
- 「spf=認証結果」の値が "fail" なら詐称されており、なりすましであると判断可能です(値が "softfail" なら詐称の疑い)
Authentication-Results
- 確認ポイント
- SPF, DKIM, DMARC などのドメイン認証の結果を確認する
- 読み取れる情報
- SPF, DKIM, DMARC などのドメイン認証が "fail" などの場合、なりすましであると判断可能です
Received
※ 難易度は高め
- 確認ポイント
- メールが送信されてきたサーバーの経路を確認する
- 読み取れる情報
- whois検索と組み合わせる場合、経由してきたIPアドレスを保有する国までわかるため、明らかに不審な経路にてメールを受信した場合は、攻撃メールである可能性があると捉えることができます