お客様や友人などから「なりすましメール」「スパムメール」について質問されることがあります。
メールの認証情報、ヘッダ情報を確認してください。と答えています。
スパム(要求していないメールの大量送信)やフィッシング攻撃などに用いられる「なりすましメール」は、送信者のアドレスを偽って送信されるメールのことなのですが、なぜそのようなことが出来るのでしょうか?メールは専用アプリケーションを利用して送信するのですが、Gmailなどのクラウドメールでなければ、比較的簡単なプログラムで、Fromアドレス(差出人)を任意のメールアドレスに変更できます。
また、WordPressのようなCMSでも、送信先メールアドレスは任意に設定できるので、Fromアドレスは簡単に改ざんできてしまうのです。
「Reply-to」(返信先のメールアドレス)もコントロールでき、受信したメールに返信した際の宛先も悪意ある攻撃者の意のままにされてしまう可能性があるわけです。
なりすましメールかどうかを確認するには、メールのヘッダ情報を確認するのが一般的です。
※下記の例は、なりすましメールではなく、apple.com からの正規なメール画面です。
※下記の例は、なりすましメールではなく、chatwork.com からの正規なメール画面です。
下図のように、SPF/DKIM/DMARC 項目にてすべて「PASS」のため、なりすましメールではありません。
「認証情報がありません」となっている場合は、なりすましメールの可能性が高いです。
GmailもYahoo!メールも、重要な認証情報だけを抜き出して見やすくしていますが、ヘッダ情報を確認すれば様々な情報を確認することができます。
など、もちろん認証情報(Received-SPF/Authentication-Results)も確認できます
GmailとYahoo!メールを例として上げましたが、ThunderbirdやMicroSoft Outlookといったメールソフトでも似たような操作でヘッダ情報を確認できます。
送信元の環境などによって認証情報は異なります。「SPF」のみ設定している場合もあれば、「DKIM」や「DMARC」も設定している環境もあります。これらすべての設定をしているはWEBサービス(メール)は稀のため、大手WEBサービスでなければ「SPF」だけでも確認できれば良いかと思います。
個人のスマホ保有率は69.3%( 2020年時点 総務省HPより)となっている現在、スマホ端末でも「なりすましメール」を判別する必要があります。
スマホアプリ | メールの認証情報の確認 |
Gmail | 不可 |
Yahoo!メール | 可 |
iCloud | 可 |
ドコモメール | 可 |
意外にも、Gmailアプリにて、メールの認証情報を確認できないようです。(2023年3月現在)
普及率の高い「Gmaiアプリ」にて認証情報を確認できないのは、不便というか、インターネット上の治安として良くない気がします。そのうちアップデートで確認できるようになるのではと期待しています。
わたしが知る限り、スマホで受信したGmailの認証情報を確認できる方法は2種あります。
ネットではこの方法が一番紹介されているような印象です。
筆者のおすすめはYahoo!アプリを利用する方法です。方法は簡単です。
Gmail/Yahoo!メールを両方持っている人であれば、この方法がおススメです。
Yahoo!メールアプリにGmailを紐づけたら、あとは前述で説明したとおり、個別のメールから認証情報を確認することができます。
昔に比べれば、なりすましメールの受信数は少なくなっている気がします。今回ブログを書くために個人端末にて認証情報がとれていないメールを探したのですが、なかなか見つからず、Gmailに限って言えば一つも見つけることができませんでした。認証が取れないメールは事前にブロックしているのでしょうか?個人利用に差があるので何とも言えないですが、Gmailに限らず、10年前に比べれば「なりすましメール」は少なくなっている印象があります。
メール認証技術「SPF/DKIM/DMARC」が普及してきているのが原因なのかもしれません。次回のブログでは、この「SPF/DKIM/DMARC」について解説したいと思います。