最近増えている迷惑メールの手口について(なりすまし・乗っ取り・Emotetの事例)

販売事業部
エモテット マルウェア Emotet
H.Yoshida

営業・企画部の吉田です!
近年、「このメールは本物でしょうか?」というご相談をいただく機会が増えています。
いわゆる迷惑メール(フィッシングメール)ですが、ここ数年で手口がかなり巧妙になっており、見た目だけでは判断が難しくなってきています。今回は、代表的な手口と、実際にあった事例をもとに整理してみます。

1.代表的な手口① なりすましメール

最も多いのが、実在する企業やサービスを装ったメールです。

  • クレジットカード会社
  • 配送業者
  • 通販サイト
  • 金融機関

などを名乗り、「情報の更新」「不正アクセス」などを理由にリンクをクリックさせるものです。最近はロゴや文章も自然で、違和感がほとんどないものも増えています。

なりすましメールを見分けるためには、いくつかのポイントを確認することが重要です。

まず、送信元のメールアドレスは必ず確認します。

見た目は正しくても、実際のアドレスが異なるケースや、似たドメインを使っている場合もあります。

また、メール内のリンクや添付ファイルは安易に開かないことが基本です。少しでも不審に感じた場合は、公式サイトを直接検索してアクセスするなど、別の手段で確認するようにします。

内容についても注意が必要で、「至急対応してください」「アカウントが無効になります」など、緊急性や不安を煽る表現は典型的な手口の一つです。

正規の企業が、メールでパスワードや個人情報の入力を求めることは基本的にありません。さらに、文章の違和感も一つの判断材料になります。日本語として不自然な表現や、普段のやり取りと異なる言い回しがあれば、一度立ち止まることが大切です。
最終的に判断に迷う場合は、メールの内容をそのまま信じるのではなく、公式の連絡先や電話など、別の手段で確認することが最も確実です。

2.代表的な手口② アカウント乗っ取り型

もう一つ注意が必要なのが、実在するアカウントを使った攻撃です。
アカウント乗っ取りとは、フィッシングメールやパスワード漏洩、マルウェア感染などを通じて認証情報が不正に取得され、第三者が本人になりすましてメールシステムへアクセスする状態を指します。

このような状態になると、単なる不正ログインにとどまらず、

  • 取引先へ不審なメールが送信される
  • ウイルスやフィッシングの拡散
  • 社内システムへの不正アクセス
  • 顧客情報や契約情報の漏洩

といったように、社内外へ被害が連鎖的に拡大するリスクがあります。また、乗っ取られたアカウントを利用して、振込指示や情報取得を狙う「ビジネスメール詐欺(BEC)」へ発展するケースもあり、注意が必要です。そのため、「メールの見た目」だけでなく、「アカウント自体が安全か」という視点も重要になっています。

  • 振込依頼
  • 添付ファイルの確認
  • ダウンロード指示

といった内容が突然来た場合は注意が必要です。

3.代表的な手口③ Emotet(エモテット)による拡散

少し前になりますが、2022年頃には「Emotet(エモテット)」と呼ばれるマルウェアが大きな問題になりました。

これは、

  1. メールに添付されたファイルを開くことで感染
  2. 過去のメール履歴やアドレス帳を取得
  3. その情報を使って“返信形式”のメールを送信

という特徴があります。つまり、本物のやり取りに見えるメールが届くという非常に厄介なものでした。
実際に、取引先でEmotetの影響とみられる事象が発生したことがあります。
当時、ヘッダー情報を確認したところ、一見すると正しいメールアドレスに見えても、実際には別の経路から送信されているケースも確認されました。また一方で、通常の業務メール自体は正常に送受信されており、 正しいメールのやり取りが、その後の攻撃に悪用されるという点も印象的でした。

4. 「メールアドレスが正しい=安全」ではない

なりすましメールは、送信元の表示だけでなく、内容や状況を含めて総合的に判断することが重要です。

  • 不審なリンクや添付ファイルは開かない
  • 急ぎの対応を求める内容には注意する
  • 必要に応じて別ルートで確認する

といった基本的な対応が、最も有効な対策となります。

近年では、メールアドレスの偽装や正規アカウントの悪用も増えており、見た目だけで判断することは難しくなっています。そのため、まず、送信元のメールアドレスは必ず確認します。見た目は正しくても、実際のアドレスが異なるケースや、似たドメインを使っている場合もあります。
少しでも不審に感じた場合は、公式サイトを直接検索してアクセスするなど、別の手段で確認するようにします。
日本語として不自然な表現や、普段のやり取りと異なる言い回しがあれば、一度立ち止まることが大切です。加えて、メールの詳細情報(ヘッダー)を確認することで、送信経路や認証情報(SPF・DKIMなど)から不審な点に気づける場合もあります。

ただし、近年は正規のアカウントが悪用されるケースもあるため、ヘッダー情報だけで完全に判断することは難しく、あくまで補助的な確認手段として活用するのが現実的です。
最終的に判断に迷う場合は、メールの内容をそのまま信じるのではなく、公式の連絡先や電話など、別の手段で確認することが最も確実です。
こうした背景から、現在のメール対策は「技術的な対策」だけでなく、「受信者の判断力」も重要な要素となっています。

まとめ

迷惑メールは年々巧妙になっており、 見た目だけで判断することが難しい時代になっています。
なりすましメールやアカウント乗っ取り、Emotetのようなマルウェアなど、手口も多様化しています。そのため、「送信元が正しいか」だけで判断するのではなく、 内容や状況に違和感がないかを含めて判断することが重要です。少しでも不安を感じた場合は、そのまま対応せず、別の手段で確認することをおすすめします。