スパムメール関連の通知に見せかけたフィッシングメール

隔離済みのスパムメールに関する通知に見せかけ、会社のメールアドレスのログイン情報を盗もうとするフィッシングメールが見つかっています。

会社のメールボックスにスパムメールが届いたとき、あなたはどうしますか?スパムメールを解析するアナリストでもないかぎり、ほとんどの人は単純に削除してしまうのではないでしょうか。そうした心理を逆手に取り、フィッシングサイトへ誘導しようとするフィッシング詐欺の手口が見られています。当社では、スパムメールに関する通知のように見せかけたフィッシングメールを多く観測するようになりました。

フィッシングの仕組み

以下のメールは、「会社のメールアドレス宛に届いたスパムメールを隔離した」という内容のメールです。スパムメールの受信日時、送信者名とメールアドレス、件名が一覧になっています。

隔離済みメールをお知らせする偽通知

隔離済みメールをお知らせする偽通知

メールのトピックは、特に重要ではありません。何かの商品などを宣伝するスパムメールの体裁を、単純に真似てあるだけです。メールごとに、このメールを削除するか残しておくかを選ぶアイコンがあります。また、隔離済みメールを見たりメールボックスの設定を開いたりするためのリンクも用意されています。さらに、各アイコンをクリックするとどうなるかの説明まであります。

サイバー犯罪者によるアイコンの説明

サイバー犯罪者によるアイコンの説明

問題はどこに

問題は、アイコンが見かけどおりではないという点です。どのアイコンも、そのハイパーリンクも、偽のログインページにつながっています。この偽ログインページは、メールサービスのWebインターフェイスのように見せかけてあります。

フィッシングサイト

フィッシングサイト

「Session Expired(セッションが期限切れになりました)」というメッセージが赤字で表示されているのは、ログインを促すためです。このページの目的は、企業メールアカウントの認証情報を入力させて手に入れることです。

手掛かり

このメールでまず気になるのは、送信者のアドレスです。この通知が本物であれば、勤務先の会社のメールサーバーから送信されてきているので、勤務先のメールアドレスと同じドメインであるはずです。この例では、メールの受信者が知らない会社から届いています。

メール内にリンクやクリック可能なアイコンがある場合は、クリックする前に、マウスカーソルをそれらの上に置き、実際のURLを確認してください。この例では、アクティブなリンクすべてに同じURLがひも付いており、しかもそのURLは、受信者のドメインにも送信者のドメイン(ハンガリーのドメイン)にも関係のないWebサイトを指しています。「http(s) request to delete all messages from quarantine(すべてのメールを隔離場所から削除するHTTP(S)リクエスト) 」を送信するためのアイコンも同様です。すべてに同じアドレスが指定されているという事実は、ログインページに対する危険信号となるはずです。

フィッシング詐欺を避けるために

フィッシング詐欺に引っかからないためには、基本的なフィッシングの手口を知っておく必要があります。当社のSecurity Awarenessサービスを、ぜひご活用ください。

もちろん、危険なメールやフィッシングサイトにエンドユーザーが遭遇しないよう、未然に防ぐことができるのに越したことはありません。対策として、メールサーバーレベルエンドポイントレベルの両方で、フィッシング対策ソリューションの使用をお勧めします。

ヒント