2018 年 6 月 18 日 Trevor Collins 著

私は、受信トレイに届いた一通のメールで、家族の一人である Samantha から別の家族に宛てた送金依頼のメールの存在を知りました。クレジットカードが何らかの理由で使えなくなった私の母が、サプライズプレゼントを送るためのお金を必要としているという内容でした。これが詐欺メールであるのは明らかであり、私の家族もそのことをわかっていました。しかしながら、この詐欺メールの犯人が Samantha の電子メールにどうやってアクセスできたのかという疑問が残りました。

この詐欺メールはとても手の込んだもので、本物のメールアカウントからのメールのように見えましたが、実際には、よく似たアカウントからのものであり、メールの From と To フィールドは以下のようなものでした（プライバシー保護のため、名前は変更してあります）。

Sent: Thursday, September 28, 2017 at 5:20 PM
From: “Samantha Collins” < Samanthacollins3465@gmail.com>
To: “Mark Collins” < Markcollins647@gmail.com>
Subject: Re: Surprise Package

Samantha は、自分の電子メールがハッキングされたと考えたようですが、幸いにも、そうではありませんでした。私は、メールのヘッダに注目しました。それは、メールのヘッダには送信経路の情報が含まれており、サーバやファイアウォールによるメールの処理に関する詳細が含まれている場合もあるからです。今回のメールは Gmail によって検査されており、送信者が「permitted sender」となっていることがわかりました。

ARC-Authentication-Results: i=1; mx.google.com;

spf=pass (google.com: domain of Samanthacollins3465@mail.com designates 74.208.4.201 as permitted sender) smtp.mailfrom= Samanthacollins3465@mail.com

Return-Path: Samanthacollins3465@mail.com

よく見てみると、同じメールではありません。@Gmail.com ではなく、@mail.com になっています。From フィールドは @gmail.com ですが、ヘッダは @mail.com になっていたのです。これは、最初の返信の後にメールを手動で編集してSamanthacollins3465@gmail.com からのメールであると Mark に 思わせるように変更されたものです。したがって、Mark が最初の返信に戻って確認していたとすれば、メールが @mail.com から送られてきたものであることに気付いたはずです。

これに似た詐欺メールで数千ドルを失ってしまったユーザの例が報告されており、残念ながら、詐欺メールであることに送金後まで気付かなかったということになります。悪意あるユーザがメールチェーンにアクセスし、そのメールチェーンを使って、正当なメールに見せかけるように細工をしたものと考えられます。被害者は、financedepartment@company.com からのメールだと考えましたが、詐欺メールの犯人は、financedepartment@spooferdomain.com から被害者へのメールチェーンを使って自分の口座情報を送信していました。そして、被害者はドメイン名を詳しく確認せずに、犯人が指定した口座に送金してしまったということでしょう。

電子メールを受け取った場合は、送信者のアドレスをよく確認することが重要です。名前とドメインが正当なものと完全に一致しない場合は、以前の返信をよく確認し、必要があれば変更することをお勧めします。–Trevor Collins