Eメールスプーフィングとは？ わかりやすく解説

ウィキペディア

Eメールスプーフィング

(Email spoofing から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2026/03/10 05:10 UTC 版)

送信元アドレスがスプーフィングされた電子メールのスクリーンショット

Eメールスプーフィング（英語:Email spoofing）とは、送信元アドレスを偽装した電子メールメッセージを作成することである^[1]。

解説

この用語は、実際には送信者のものではないアドレスから送信されたと偽る電子メールに適用される。そのアドレス宛に返信されたメールはバウンスするか、身元を偽装された無関係の第三者に配信される可能性がある。使い捨てメールアドレスや「マスクされた」電子メールは別のトピックである。これらはユーザーの通常のアドレスではないマスクされた電子メールアドレスを提供し、通常のアドレスは公開されない（たとえば、収集されないようにするため）が、そこに送信されたメールはユーザーの実際のアドレスに転送される^[2]。

電子メールに使用される本来の通信プロトコルには、組み込みの認証方法がない。この欠陥により、スパムやフィッシングメールで受信者を誤解させるためのなりすましが可能になる。最近の対策により、インターネット上の送信元からのこのようななりすましは困難になっているが、完全に排除されたわけではない。内部ネットワークの中には、同じネットワーク上の同僚の侵害されたコンピュータからのなりすましメールに対する防御策を備えているものはほとんどない。なりすましメールに騙された個人や企業は、多額の経済的損失を被る可能性がある。特になりすましメールは、ランサムウェアに感染させるためによく使用される。

技術的詳細

Simple Mail Transfer Protocol（SMTP）電子メールが送信される際、最初の接続で2つのアドレス情報が提供される。

• MAIL FROM: 一般的に「Return-path:」ヘッダーとして受信者に提示されるが、通常エンドユーザーには見えない。また、デフォルトでは、送信システムがそのアドレスに代わって送信することを許可されているかどうかのチェックは行われない。
• RCPT TO: 電子メールの配信先アドレスを指定する。通常エンドユーザーには見えないが、「Received:」ヘッダーの一部としてヘッダーに存在する場合がある。

これらは合わせて「エンベロープ」アドレス指定と呼ばれることがある。これは従来の紙の封筒に例えたものである^[3]。受信側メールサーバーがこれらの項目のいずれかに問題があることを通知しない限り、送信システムは「DATA」コマンドを送信し、通常は以下を含むいくつかのヘッダー項目を送信する。

• From: Joe Q Doe <joeqdoe@example.com> – 受信者に見えるアドレスであるが、これもデフォルトでは送信システムがそのアドレスに代わって送信する権限を持っているかどうかの確認は行われない。
• Reply-to: Jane Roe <Jane.Roe@example.mil> – 同様に確認されない。
• Sender: Jin Jo <jin.jo@example.jp> – これも確認されない。

その結果、電子メールの受信者は、「From:」ヘッダーのアドレスから電子メールが送信されたと認識する。受信者が「MAIL FROM」アドレスを見つけることができる場合もあり、メールに返信した場合は「From:」または「Reply-to:」ヘッダーに示されているアドレスのいずれかに送信されるが、これらのアドレスはいずれも通常信頼できないため^[4]、自動化されたバウンスメールはバックスキャッタを生成する可能性がある。

電子メールのなりすましは電子メールアドレスの偽造には有効であるが、メールを送信したコンピュータのIPアドレスは、通常、電子メールヘッダーの「Received:」行から特定できる^[5]。ただし悪意のあるケースでは、これは所有者の知らないうちに電子メールを送信している、マルウェアに感染した無実の第三者のコンピュータである可能性が高い。

なりすましの悪用

フィッシングやビジネスメール詐欺には、一般的に電子メールのなりすましの要素が含まれている。

電子メールのなりすましは、ビジネスおよび財務に深刻な結果をもたらす公的な事件の原因となっている。2013年10月に通信社宛てに送信された電子メールは、スウェーデンの企業Fingerprint Cardsから送信されたかのように偽装されていた。電子メールには、サムスンが同社の買収を提案したと記載されていた。このニュースは広まり、同社の株価は50%急騰した^[6]。

多くのより現代的な例の中でも、KlezやSoberなどのマルウェアは、感染したコンピュータ内の電子メールアドレスを検索し、それらのアドレスを電子メールのターゲットとして使用するだけでなく、送信する電子メールの「From」フィールドに信頼できる偽装を作成するためにも使用することがよくある^[要出典]。これは、電子メールが開封される可能性をさらに高めるためである。たとえば以下のようになる。

1. アリスは感染したメールを受信し、それを開いてワームのコードを実行する。
2. ワームのコードはアリスの電子メールアドレス帳を検索し、ボブとチャーリーのアドレスを見つける。
3. ワームはアリスのコンピュータからボブに感染した電子メールを送信するが、チャーリーから送信されたかのように偽装されている。

この場合、ボブのシステムが受信したメールにマルウェアが含まれていることを検出したとしても、実際にはアリスのコンピュータから送信されたものであるにもかかわらず、ソースはチャーリーであると表示される。一方アリスは自分のコンピュータが感染していることに気づかない可能性があり、チャーリーはボブからエラーメッセージを受け取らない限りそのことについて何も知らない。

メールサーバーへの影響

従来、メールサーバーはメールアイテムを受け入れた後、何らかの理由で配信できなかったり隔離されたりした場合に、配信不能レポート（NDR）または「バウンス」メッセージを送信することができた。これらは「MAIL FROM:」すなわち「Return Path」アドレスに送信されていた。偽造されたアドレスが急増した現在では、検出されたスパムやウイルスなどに対してNDRを生成せず^[7]、SMTPトランザクション中に電子メールを拒否することがベストプラクティスとなっている。メール管理者がこのアプローチを怠った場合、システムは無実の当事者に「バックスキャッタ」メール（それ自体がスパムの一種）を送信したり、「Joe job」攻撃の実行に利用されたりする原因となる。

対策

サーバー間の電子メールトラフィックの暗号化に使用されるSSL/TLSシステムを使用して認証を強制することもできるが、実際にはほとんど使用されておらず^[8]、その他の潜在的な解決策の多くも普及していない。

以下を含むいくつかの防御システムが広く使用されるようになっている。

• Sender Policy Framework (SPF)  – 電子メールの配信中に送信元アドレスの偽造を検出するように設計された電子メール認証方式^[9]。
• DomainKeys Identified Mail (DKIM)  – 電子メール内の偽造された送信元アドレス（電子メールのなりすまし）を検出するように設計された電子メール認証方式。これは、フィッシングや電子メールスパムでよく使用される手口である。
• Domain-based Message Authentication, Reporting and Conformance (DMARC)  – 電子メール認証プロトコル。電子メールのなりすましとして一般的に知られている不正使用からドメインを保護する機能を電子メールドメイン所有者に提供するように設計されている。DMARCを実装する目的と主な結果は、ビジネスメール詐欺攻撃、フィッシングメール、電子メール詐欺、およびその他のサイバー脅威活動でドメインが使用されるのを防ぐことである。

偽造された電子メールの配信を効果的に阻止するには、送信元ドメイン、そのメールサーバー、および受信システムがすべて、これらのより高い認証基準に合わせて正しく構成されている必要がある。その使用は増加しているものの、ドメイン認証の形式を持たない電子メールの割合については、8.6%^[10]から「ほぼ半数」まで、推計に大きなばらつきがある^[11][12][13]。このような理由から、受信側メールシステムには通常、構成が不十分なドメインや電子メールの処理方法を設定するためのさまざまな設定が用意されている^[14][15]。

電子メールのセキュリティ向上に関する研究は行われているが、電子メールアドレスをなりすましに使用されたユーザーへの通知についてはほとんど重視されていない。現在、偽の電子メールを特定できるのは電子メールの受信者のみであり、アドレスをなりすまされたユーザーは、受信者が手動でメッセージを精査するか、DMARCレポートが有効になっていない限り気づかないままである。

ビジネスメール

ビジネスメール詐欺攻撃は、組織を攻撃するために電子メール詐欺を利用するサイバー犯罪の一種である。例としては、請求書詐欺や、他の犯罪活動のデータを収集するために設計されたスピアフィッシング攻撃などが挙げられる。電子メールのなりすましに騙された企業は、さらなる財務上の損害、事業継続への悪影響、および風評被害を被る可能性がある。また、偽の電子メールはマルウェアの拡散にも使用される可能性がある。

典型的には、この攻撃では上司、信頼できる顧客、またはサプライヤーを不正に装ったなりすましメールを送信することで、組織内の特定の役職の従業員を標的にする^[16]（この種の攻撃はスピアフィッシングとして知られている）。電子メールは、支払いの承認やクライアントデータの公開などの指示を出す。電子メールでは、被害者を騙して詐欺師の銀行口座に送金させるために、ソーシャル・エンジニアリングが頻繁に使用される^[17]。

米国の連邦捜査局（FBI）は、2016年6月から2019年7月までの間に、BEC（ビジネスメール詐欺）攻撃に関連する米国および国際的な損失を260億ドルと記録した^[18]。より最近の数値では、2013年から2022年までの損失は500億ドルを超えると推定されている^[19]。

インシデント

• ダブリン動物園は2017年にこのような詐欺で13万ユーロを失った。大部分は回収されたものの、総額50万ユーロが奪われた^[20]。
• オーストリアの航空宇宙企業FACC AGは、2016年2月の攻撃を通じて4,200万ユーロ（4,700万ドル）をだまし取られ、その後CFOとCEOの両方が解雇された^[21]。
• ニュージーランドのテ・ワナンガ・オ・アオテアロアは、12万NZドルをだまし取られた^[22]。
• ニュージーランド消防局は2015年に5万2,000ドルをだまし取られた^[23]。
• Ubiquiti Networksは2015年にこのような詐欺により4,670万ドルを失った^[24]。
• 米国セーブ・ザ・チルドレン（Save the Children USA）は、2017年に100万ドルのサイバー詐欺の被害に遭った^[25]。
• オーストラリア競争・消費者委員会^[26]にビジネスメール詐欺攻撃を報告したオーストラリアの組織は、2018年に約280万豪ドルの経済的損失を被った^[27]。
• 2013年、エヴァルダス・リマサウスカスとその従業員は、企業の電子メールシステムにアクセスするために何千通もの詐欺メールを送信した^[28]。彼は2013年から2015年にかけて、Googleから約2,300万ドル、Facebookから約9,800万ドルをだまし取ったとして起訴された。彼は両社が取引を行っていた台湾のハードウェアメーカー、Quanta Computerになりすまし、ラトビアに同名の会社を設立することで犯行に及んだ^[29]。

関連項目

• チェーンメール
• コンピュータウイルス
• コンピュータワーム
• サイバー犯罪
• 侵害される可能性があるドメイン名#ドメイン名のなりすまし
• Domain-based Message Authentication, Reporting and Conformance (DMARC)
• Sender Policy Framework (SPF)
• DomainKeys Identified Mail (DKIM)
• 電子メール認証
• デマ
• ジョブジョブ
• フィッシング (詐欺)
• いたずら電話
• ソーシャル・エンジニアリング

脚注

[脚注の使い方]

1. ^ Varshney, Gaurav; Misra, Manoj; Atrey, Pradeep K. (2016). “A survey and classification of web phishing detection schemes: Phishing is a fraudulent act that is used to deceive users” (英語). Security and Communication Networks 9 (18): 6266–6284. doi:10.1002/sec.1674. https://onlinelibrary.wiley.com/doi/10.1002/sec.1674 2026年2月27日閲覧。. 
2. ^ Yee, Alaina (2022年6月6日). “What is masked email? This new spin on an old practice supercharges your security” (英語). PCWorld. https://www.pcworld.com/article/708303/what-is-masked-email-this-new-spin-on-an-old-practice-supercharges-your-security.html 2026年2月27日閲覧。 
3. ^ Siebenmann, Chris (2019年4月8日). “A quick overview of SMTP” (英語). University of Toronto. 2019年4月3日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
4. ^ Barnes, Bill (2002年3月12日). “E-Mail Impersonators” (英語). Slate. オリジナルの2019年4月13日時点におけるアーカイブ。. https://web.archive.org/web/20190413220636/https://slate.com/technology/2002/03/e-mail-impersonator.html 2026年2月27日閲覧。 
5. ^ “e-mail impersonators: identifying "spoofed" e-mail” (英語). 2017年6月21日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
6. ^ Mundy, Simon (2013年10月11日). “Fraudsters' fingerprints on fake Samsung deal” (英語). Financial Times. オリジナルの2019年2月10日時点におけるアーカイブ。. https://web.archive.org/web/20190210050645/https://www.ft.com/content/0b972892-3259-11e3-b3a7-00144feab7de 2026年2月27日閲覧。 
7. ^ RFC 3834を参照
8. ^ “Transport Layer Security for Inbound Mail” (英語). Google Postini Services. 2016年11月11日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
9. ^ Carranza, Pablo (2013年7月16日). “How To use an SPF Record to Prevent Spoofing & Improve E-mail Reliability” (英語). DigitalOcean. 2015年4月20日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。 “A carefully tailored SPF record will reduce the likelihood of your domain name getting fraudulently spoofed and keep your messages from getting flagged as spam before they reach your recipients. Email spoofing is the creation of email messages with a forged sender address; something that is simple to do because many mail servers do not perform authentication. Spam and phishing emails typically use such spoofing to mislead the recipient about the origin of the message.”
10. ^ “Internet-wide efforts to fight email phishing are working” (英語). Google Security Blog (2013年12月6日). 2019年4月4日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
11. ^ Eggert, Lars. “SPF Deployment Trends” (英語). 2016年4月2日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
12. ^ Eggert, Lars. “DKIM Deployment Trends” (英語). 2018年8月22日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
13. ^ “In First Year, DMARC Protects 60 Percent of Global Consumer Mailboxes” (英語). dmarc.org (2013年2月6日). 2018年9月20日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
14. ^ “Prevent spoofed messages with spoofed senders detection” (英語). 2019年3月23日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
15. ^ “Anti-spoofing protection in Office 365” (英語). 2019年4月9日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
16. ^ Joan Goodchild (2018年6月20日). “How to Recognize a Business Email Compromise Attack” (英語). Security Intelligence. 2019年3月23日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
17. ^ “Tips to Avoid Phishing Attacks and Social Engineering” (英語). www.bankinfosecurity.com. 2020年12月2日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
18. ^ “Business Email Compromise Is Extremely Costly And Increasingly Preventable” (英語). Forbes Media. (2020年4月15日). オリジナルの2021年10月23日時点におけるアーカイブ。. https://web.archive.org/web/20211023175108/https://www.forbes.com/sites/forbestechcouncil/2020/04/15/business-email-compromise-is-extremely-costly-and-increasingly-preventable/?sh=74b6086c5d36 2026年2月27日閲覧。 
19. ^ “Business Email Compromise: The $50 Billion Scam” (英語). FBI Internet Crime Complaint Center. 2026年2月27日閲覧。
20. ^ “Dublin Zoo lost €500k after falling victim to cyber-scam” (英語). Irish Examiner. (2017年12月22日). オリジナルの2019年8月8日時点におけるアーカイブ。. https://web.archive.org/web/20190808013739/https://www.irishexaminer.com/ireland/dublin-zoo-lost-500k-after-falling-victim-to-cyber-scam-464818.html 2026年2月27日閲覧。 
21. ^ “Austria's FACC, hit by cyber fraud, fires CEO” (英語). Reuters. (2016年5月26日). オリジナルの2021年3月21日時点におけるアーカイブ。. https://web.archive.org/web/20210321122533/https://www.reuters.com/article/us-facc-ceo-idUSKCN0YG0ZF 2026年2月27日閲覧。 
22. ^ “Te Wananga o Aotearoa caught up in $120k financial scam” (英語). The New Zealand Herald. (2015年12月20日). オリジナルの2018年12月20日時点におけるアーカイブ。. https://web.archive.org/web/20181220231009/https://www.nzherald.co.nz/business/news/article.cfm?c_id=3&objectid=11563918 2026年2月27日閲覧。 
23. ^ “Fire Service scammed out of $52,000” (英語). RNZ News. (2015年12月23日). オリジナルの2018年12月20日時点におけるアーカイブ。. https://web.archive.org/web/20181220231104/https://www.radionz.co.nz/news/national/292881/fire-service-scammed-out-of-$52,000 2026年2月27日閲覧。 
24. ^ Hackett, Robert (2015年8月10日). “Fraudsters duped this company into handing over $40 million” (英語). Fortune magazine. オリジナルの2018年12月20日時点におけるアーカイブ。. https://web.archive.org/web/20181220230315/http://fortune.com/2015/08/10/ubiquiti-networks-email-scam-40-million/ 2026年2月27日閲覧。 
25. ^ Wallack, Todd (2018年12月13日). “Hackers fooled Save the Children into sending $1 million to a phony account” (英語). The Boston Globe. オリジナルの2018年12月20日時点におけるアーカイブ。. https://web.archive.org/web/20181220230447/https://www.bostonglobe.com/business/2018/12/12/hackers-fooled-save-children-into-sending-million-phony-account/KPnRi8xIbPGuhGZaFmlhRP/story.html 2026年2月27日閲覧。 
26. ^ “Home | Scamwatch” (英語). www.scamwatch.gov.au (2025年2月2日). 2026年2月27日閲覧。
27. ^ Powell, Dominic (2018年11月27日). “Business loses $300,000 to 'spoofed' email scam: How to protect yourself from being impersonated” (英語). Smart Company. オリジナルの2018年11月27日時点におけるアーカイブ。. https://web.archive.org/web/20181127082348/https://www.smartcompany.com.au/technology/business-email-compromise-scam/ 2026年2月27日閲覧。 
28. ^ “Sentence in BEC Scheme” (英語). Federal Bureau of Investigation. 2020年1月31日時点のオリジナルよりアーカイブ。2026年2月27日閲覧。
29. ^ Romo, Vanessa (2019年3月25日). “Man Pleads Guilty to Phishing Scheme That Fleeced Facebook, Google of $100 Million” (英語). NPR. https://www.npr.org/2019/03/25/706715377/man-pleads-guilty-to-phishing-scheme-that-fleeced-facebook-google-of-100-million 2026年2月27日閲覧。 

外部リンク

• “2002 Tech Tip: Spoofed/Forged Email” (英語). SEI Digital Library. Carnegie Mellon University (2002年1月1日). 2026年2月27日閲覧。