「私から私へ」届いたLINE追加の依頼メール?なりすまし詐欺の巧妙な手口と対策
先日、クライアントから切実なご相談をいただきました。「私(その社長)の名前を使って、社内に偽のメールが送られて困っている。対処法を教えてほしい」という内容です。なりすましメールは組織の信頼を揺るがす深刻な問題ですが、実はその後日、私自身の元にも「私(河野)」を名乗る人物からメールが届きました。
自分から自分へメールが来るという、なんとも奇妙な状況。今回は、実際に届いたメールやお客様の事例を公開しながら、この手の詐欺がなぜ「防ぎにくい」のか、その構造と対策を整理します。
実際に届いた「なりすましメール」の全貌
私の元に届いたのは、いかにも「業務効率化」を装った内容でした。幸い、私の環境ではGoogleの強力なフィルタが働き、最初から迷惑メールフォルダに隔離されていました。
件名:LINE業務グループ作成のお願い
お疲れ様です。
今後の業務連絡を円滑に進めるため、お手数ですが、LINEの業務用グループを作成していただけますでしょうか。作成後、招待リンクまたはQRコードを本メールにてご共有ください。
お忙しいところ恐れ入りますが、よろしくお願いいたします。
代表取締役 : 河野 貴宏
また、別のお客様の元には、さらに踏み込んで「個人のLINE IDやQRコードを返信しろ」という指示が届いていました。これも「今後の連絡はLINEで行う」というそれらしい理由が添えられており、真面目な社員ほど「社長の指示なら」と応じてしまいかねない危うさがあります。
「名前だけ」を名乗る攻撃が、なぜフィルターを抜けるのか
今回の攻撃には、非常に厄介なポイントがあります。それは、「メールアドレスはめちゃくちゃなのに、名乗っている名前だけが本物」という点です。
最近、各メールサーバーが「なりすまし対策」を強化しているため、メールアドレスそのものを本物そっくりに偽装(ドメイン詐称)することは難しくなりました。しかし、今回の犯人はそこを逆手に取っています。
- 名前(表示名)は単なるテキスト: メールの「表示名」欄に誰の名前を入れるかは自由です。迷惑メールフィルターは「怪しいアドレス」は弾きますが、本文や表示名にある「一般的な氏名」そのものをブロック対象にするのは難しいのが現状です。
- 「弱さ」が「強み」になる: アドレスがデタラメなのは一見すると「弱い攻撃」に見えます。しかし、それゆえに特定のブラックリストに載りにくく、すり抜けて届いてしまうという「防ぎにくさ」を生んでいます。
サーバーの「セキュリティ格差」が明暗を分ける
ここで重要になるのが、皆さんが使っている「メールサーバーの性能」です。今回、私の元に届いたメールが即座に隔離されたのは、Google Workspace(旧G Suite)のサービスを利用していたからです。
Googleのようなクラウド型の巨大サービスは、世界中で報告されている膨大なスパムデータをAIがリアルタイムで学習しています。そのため、「文面のパターン」や「過去の類似報告」から、アドレスが初見であっても「これは怪しい」と察知して排除してくれます。
一方で、一般的なウェブサービスの「レンタルサーバー」に付属しているメール機能を使っている場合は注意が必要です。これらの多くは「既知の悪いアドレス」をブロックする旧来の方式がメインであるため、今回のような「アドレスは使い捨て、名前だけ偽装」という柔軟な攻撃にはフィルターがかからず、受信ボックスに平然と届いてしまうことが少なくありません。
被害を防ぐための具体的な考え方
技術的なフィルターを過信せず、組織として以下の「仕組み」を持つことが最大の防御になります。
「連絡の決まり事」を徹底する
まずはシステムではなく、人への周知です。「LINEグループの作成指示を、社長がメール一通で送ることは絶対にない」という共通認識を社内で持っておくことです。社内チャット(ChatworkやSlackなど)があるなら、「業務指示は必ずチャットで行う」とルール化し、それ以外の経路で来た指示はたとえ社長名義でも「偽物」と断定する文化を作ってください。
「違和感」をすぐに報告できる風通し
犯人は「社長からの指示だから早く対応しなきゃ」という心理を突いてきます。だからこそ、社員が「これ、本物ですか?」と気軽に社長やIT担当に確認できる関係性が、どんな高価なセキュリティソフトよりも会社を守ります。
メールサーバーのアップグレードを検討する
もし、今回のようなメールが頻繁に届くようであれば、メールシステムそのものをGoogleやMicrosoftなどの「クラウド型セキュリティ」が強いものへ移行する時期かもしれません。インフラの守りを固めることは、社員を詐欺の恐怖から守ることでもあります。
他にも対策はあるのですが、今回の件と直接関係とするものではないため割愛します。
狙われるのは「真面目な組織」
こうしたメールに反応してしまうのは、不注意だからではありません。「社長の役に立ちたい」「業務を効率化したい」という前向きな姿勢を、犯人が悪用しているのです。だからこそ、個人の気合に頼るのではなく、システム(サーバー)とルール(運用)の両輪で守りを固めていきましょう。
迷惑メールフォルダを見た時に、自分からメールが届いたときは苦笑いしてしまいましたが、同時に「狙われている」という緊張感を持ち続ける大切さを再確認しました。皆様も今一度、自社のメール環境とルールを見直してみてはいかがでしょうか(^^)
