有料会員登録 東洋経済オンラインとは
ビジネス #誰も言わない セキュリティ経営の本音

「送信元が公式ドメイン→安全」は嘘《GoogleやMicrosoftのサービスが詐欺の"配達役"に》だまされないための3つの習慣

6分で読める
女性が未読メールを確認しようとするイメージ
公式ドメインからのメールでも「詐欺」の可能性がある(画像:Sandwish / PIXTA)
  • 伊藤 秀明 AIセキュリティ コンサルティング&ソリューション事業統括本部 シニアマネージャー

INDEX

「迷惑メールを見分けるには、送信元のアドレスを確認しましょう」。ドメインが怪しければ詐欺を疑い、公式ドメインなら本物とみなす。多くの方がこの基準でメールやドメインの真偽を判断してきたと思います。

ところが今、GoogleフォームやOneDrive、Googleカレンダーといった正規サービスのメール通知機能を使い、正真正銘の「google.com」や「microsoft.com」から詐欺のメッセージが届くという事例が増えてきています。攻撃者は文章だけ作成し、それを配達するのはGoogleやMicrosoftなので、送信元をいくら確認しても偽物だと見抜くことができないのです。

ここでは、公式ドメインが詐欺の踏み台にされる仕組みと、実際に報告されている3つの手口を紹介したうえで、「送信元の確認」に代わる新しい判断基準を3つの習慣にまとめます。

公式ドメインから詐欺メールが送られる仕組み

迷惑メールを振り分けるフィルターも、実は人間と同じ基準で動いています。送信元のドメインや送信サーバーの信頼度を見て、怪しければ弾き、信頼できれば通すというものです。

この連載はこちら

GoogleやMicrosoftのサーバーから届くメールは信頼度が高いと判定されるため、この検査をほぼ素通りできます。

攻撃者が目を付けたのは、正規サービスの「ユーザーに代わってメールを送る機能」です。フォームの回答通知、ファイルの共有通知、カレンダーの招待など、いずれも自由に書いたメッセージを任意の宛先へ届けることができます。

2/4 PAGES
3/4 PAGES
4/4 PAGES

こちらの記事もおすすめ

あなたにおすすめ

ビジネス

人気記事 HOT

※過去1ヶ月以内に配信した記事の閲覧数