2019 年 11 月 12 日 Emil Hozan 著

免責事項：スマートフォンやタブレットなどのモバイルデバイスに届く偽装／フィッシングメールの判断は、ノート PC やデスクトップ PC の場合ほど単純なものではありません。後述しますが、モバイルクライアントの場合、フィッシングのわかりやすい手掛かりが隠れてしまうことがよくあります。この記事では、ウォッチガードの CTO である Corey Nachreiner から部下である Trevor と私を TO に、Marc を CC に指定して送信された偽装メールを例に説明します。ここで着目すべきは、メールアドレスとメールの本文、特に挿入されたリンクです。

図 1 は、Android の Outlook メールクライアントでメールを表示した例です。一見すると、正当なメールに見えます。スペルミスもなく（このメールを読みながら再チェックしました）、文章も全体として不自然さがなく（「…you two *are* excited…」で「are」が抜けている点を除く）、ほとんどが簡単な文章で画像もありません。一見すると正当なメールのように見える上に、単語が抜けたり余計な単語が入ったりするのは、メールではさほど珍しいことではありません。手の込んだことに、Corey の顔写真付きです。

図 1：Outlook の Android メールアプリで表示した電子メール

ここで皆さんが「メールアドレスを見ればいいのでは」と思ったとしたら、それは正しい判断です。モバイルメールアプリのほとんどは、デフォルトでは送信者のメールアドレスが非表示になっており、メールヘッダの「From:」の名前だけが表示されます。このようなヘッダは簡単に偽装できますが、偽装されなかったとしても、メールアドレスはここには表示されません。次に、図 2 に注目してください。メールを展開してアドレスが表示されるようにしましたが、それでも、正当なメールのように見えます。表示されている名前は、対応するアドレスに一致しており、特に不自然な点はありません。ただし、この場合も、受信者が DMARC などを使ってメッセージヘッダ認証をしていなければ、偽装するのは簡単です。

図 2：メールを展開して受信者が表示された状態

加えて、図 3 の「Reply All（全員に返信）」オプションでは、どの受信者も表示名だけが表示され、対応するアドレスは表示されません。残念ながら、このトレンドについては、デスクトップ用メールクライアントにも取り入れられるようになっています。これ自体はそれほど危険なことではなく、図 2 に示したように、アドレスの詳細をすべて表示することもできますが、返信者が実際に誰であるかを確認する手段が返信の完了後までないのは、問題かもしれません。図 4 を見ると、それぞれの受信者のアドレスが、送信後に初めて表示されることが分かります。しかしながら、ここで何かがおかしいことに気が付きます。この例では、Corey のメールアドレスがウォッチガードのアカウントから Gmail のアカウントに変わっています。これは、「Reply-to:」ヘッダによるものであり、攻撃者がメールクライアントを悪用して偽装防止機能を回避するもう 1 つの方法です。

図 3：「Reply-All（全員に返信）」で全員に返信

図 4：「Reply-All（全員に返信）」で、受信者のメールアドレスが表示される

これも問題ではありますが、攻撃者に「Reply-to:」のアドレスを偽装しようという意図がない可能性もあります。攻撃者に被害者とのコミュニケーションを開始しようとする意図はなく、リンクをクリックさせれば良いと考えている可能性があります。このメールは「信頼できる」送信者からのものであるようであり、メールアドレスは一致していて、偽装あるいはフィッシングのメールが疑われる明らかな兆候もないため、リンクをクリックするのは妥当な判断であるようにも思えます。仮に皆さんが同様の判断をしたとしても、責めることはできませんが、その「クリック」が、当初の想像より危険である可能性もあるのです。

我々はユーザに対し、デスクトップのメールクライアントでは、マウスカーソルを位置付けることで、メールに含まれるリンクの実際の宛先を確認するよう推奨しています。スマートフォンでは正確に言うとマウスカーソルを位置付けることはできませんが、リンクの送信先を確認する方法はあります。リンクをすぐにクリックするのではなく、メールが正当なものであるどうかにかかわらず、図 5 に示すようにリンクを長押しし、「アドレスをコピー」します。これが、正規の Web ページあるいは攻撃者が管理する Web ページのどちらに行くかの分かれ道となります。後者の場合、認証情報を不正取得するフィッシングページが行き先である可能性があります（「…ログインするには…」というような誘導するメール本文に注意します）。今回のリンクはご覧のように https://www.google.com が行き先ですが、これはプレースホルダーであり、実際には任意のドメインに簡単に差し替えることができます。

図 5：挿入されたリンクを長押しするとこれらのオプションが表示され、アドレスが表示される

以上の説明をまとめると、モバイルデバイスでメールのリンクをむやみにクリックするべきではありません。いくつか予防のための手順を踏んで、メールの受信者だけではなく、メール本文の内容も調べます。この記事の例では、何の問題もなく（単語の抜けはありましたが、これが不正メールの明らかな証拠とは言えません）、最後に調べるべきは、リンクそのものでした。モバイルデバイスを利用する際に長押しをして内容を確認するかどうかはそれぞれの判断ですが、変化し続ける脅威環境において潜在的なリスクから身を守れるかどうかは、皆さん自身にかかっています。