「迷惑メールを見分けるには、送信元のアドレスを確認しましょう」。ドメインが怪しければ詐欺を疑い、公式ドメインなら本物とみなす。多くの方がこの基準でメールやドメインの真偽を判断してきたと思います。
ところが今、GoogleフォームやOneDrive、Googleカレンダーといった正規サービスのメール通知機能を使い、正真正銘の「google.com」や「microsoft.com」から詐欺のメッセージが届くという事例が増えてきています。攻撃者は文章だけ作成し、それを配達するのはGoogleやMicrosoftなので、送信元をいくら確認しても偽物だと見抜くことができないのです。
ここでは、公式ドメインが詐欺の踏み台にされる仕組みと、実際に報告されている3つの手口を紹介したうえで、「送信元の確認」に代わる新しい判断基準を3つの習慣にまとめます。
公式ドメインから詐欺メールが送られる仕組み
迷惑メールを振り分けるフィルターも、実は人間と同じ基準で動いています。送信元のドメインや送信サーバーの信頼度を見て、怪しければ弾き、信頼できれば通すというものです。
GoogleやMicrosoftのサーバーから届くメールは信頼度が高いと判定されるため、この検査をほぼ素通りできます。
攻撃者が目を付けたのは、正規サービスの「ユーザーに代わってメールを送る機能」です。フォームの回答通知、ファイルの共有通知、カレンダーの招待など、いずれも自由に書いたメッセージを任意の宛先へ届けることができます。

