疑わしいメールを分析する方法

怪しく見えるメールを受け取ったときに自分で見分ける方法を、伝授いたしましょう。

フィッシングメールは、見てすぐ分かる場合があります。例えば、送信者のアドレスと、送信元を名乗る企業の名前が一致していない論理的な矛盾が見られるオンラインサービスからの通知に見せかけている、などの典型的な特徴があるメールです。しかし、いつも簡単に見分けられるとはかぎりません。偽物のメールに説得力を加えるために、メールアドレスの目に見える部分に手を加えてある場合があります。

この手法は、大量ばらまき型のフィッシングメールではあまり見られませんが、標的型のメールではかなり見られます。メールが本物のように見えても、送信者が本物かどうか疑わしい場合は、メールヘッダーのReceivedフィールドを確認してみましょう。この記事では、確認方法をご紹介します。

疑うべき理由

何かおかしなことを要求する内容のメールは、明らかな赤信号です。例えば、業務外のことを頼んできたり、いつもとは異なる行動を求めてきたりするメールは要注意です。特に、重要性(例:CEOからの個人的な要請)や緊急性(例:2時間以内に支払いが必要)を訴える内容の場合は注意が必要です。このように心理的プレッシャーをかけるやり方は、フィッシングの典型的な手口です。また、以下のようなことを頼まれた場合も注意が必要です。

  • メール内のリンクから外部のWebサイトにアクセスし、そこで認証情報や支払い情報を入力すること。
  • ファイル(特に実行ファイル)をダウンロードして開くこと。
  • 金銭の授受や、システムやサービスへのアクセスに関連する行為を行うこと。

メールヘッダーの見つけ方

残念ながら、目に見えるFromフィールドは簡単に偽装できます。しかし、Receivedフィールドには、送信者の実際のドメインが表示されます。どのメールクライアントにもReceivedフィールドはあります。ここでは、多くの企業で広く利用されているMicrosoft Outlookを例に説明しますが、他のメールクライアントでも基本的なところは同じです。

Microsoft OutlookでReceivedフィールドを探す手順は、以下のとおりです。

  1. 確認したいメールを開きます。
  2. [ファイル]タブで[プロパティ]を選択します。
  3. [プロパティ]ウィンドウの[インターネット ヘッダー]セクション内で「Received」フィールドを探します。

メールは受信者に届くまでに複数の中間ノードを経由するため、Receivedフィールドが複数ある場合があります。最初に送信した人に関する情報が含まれるのは、一番下のReceivedフィールドです。以下のような見た目です。

メールヘッダーのReceivedフィールド

メールヘッダーのReceivedフィールド

Receivedフィールドからドメインを確認する方法

KasperskyのThreat Intelligence Portal(英語サイト)を利用して、Receivedフィールドからドメイン情報を簡単に確認することができます。Threat Intelligence Portalの機能のうち、いくつかは無料で(登録なしで)利用可能となっています。

確認するには、Receivedフィールドのアドレスをコピーして、[OpenTIP placeholder] KasperskyのThreat Intelligence Portal [/OpenTIP placeholder]の[Lookup]タブにある検索フィールドに貼り付け、[Look up]をクリックします。検索結果として、ドメイン情報、ドメインのレピュテーション、WHOIS情報が表示されます。検索結果は、以下のように表示されます。

Kaspersky Threat Intelligence Portalで得られる情報

Kaspersky Threat Intelligence Portalで得られる情報

一番上に表示されているドメイン名のすぐ下に、「Good」または「Uncategorized」という文字があるかと思いますが、これは、このドメインが過去に犯罪目的で使用されたという記録が当社システムにはないことを意味します。ただ、攻撃者は標的型攻撃の準備をする際に、新しいドメインを登録したり、レピュテーションの良い正規ドメインをセキュリティ侵害して利用したりする場合があります。そこで、ドメインの登録先の組織が、メール送信者が名乗っている組織と一致しているかどうか、よく確認してください。例えば、スイスにあるパートナー企業の社員が、マレーシアで登録された未知のドメインを使ってメールを送るとは考えにくいものです。

なお、メールの中にあるリンクも、同様にThreat Intelligence Portalで確認することができます。メールの添付ファイルをチェックする場合は、[File Analysis]タブをお使いください。

このポータルにはこれ以外にも便利な機能が多数ありますが、ほとんどは登録ユーザー限定となっています。詳細については、[About the Portal]タブをご覧ください。

フィッシングメールおよび悪意あるメールへの対策

不審なメールをチェックするのも良いのですが、フィッシングメールが個人の元に到達するのを防ぐほうが確実です。当社では、会社のメールサーバーレベルにフィッシング対策ソリューションを導入することをお勧めしています。

また、メールの受信者がフィッシングサイトへのリンクをクリックしてしまった場合に備え、フィッシングサイトへのリダイレクトを阻止するフィッシング対策ソリューションをワークステーションにインストールすることも併せてお勧めします。

ヒント