学術系ホームページ&CD/DVD制作
050-6870-5000
メールを暗号化していますか 2
2016年5月、群馬県嬬恋村の男性が、中国メーカーに発注した発電機137台分の代金約830万円を騙し取られました。
男性と中国メーカーは以前から取引があり、今回もメールで発注したところ、男性の元に中国メーカー側になりすましたメールが届き、インターネットバンキングのニセ口座に送金するよう指示されました。男性が指示通り送金したところ、しばらくして中国メーカー側から代金が支払われない旨の問い合わせがあり、事件が発覚しました。
読売新聞 なりすましメール 830万詐欺被害 アドレス1文字違い
上記記事では、群馬県警は男性と中国メーカー側のメールのやり取りが事前に盗み見されていたと推定しています。その場合、新聞記事が強調する「アドレス1文字違い」という点からは、まず、ニセメールという判別はつかないでしょう。
メールアドレスは簡単に偽装できるからです。1文字違いのドメインを準備するほど周到な犯人がメールアドレスを偽装しなかったとは考えにくいのです。1文字違いが判明したのは、後からニセメールのメールヘッダーを詳しく調査したからでしょう。ふつうの人はメールヘッダーの確認のしかたを知りませんし、知っていてもいちいち確認はしません。また、従来の標的型メール攻撃対策にも、メールヘッダーの確認までは挙げられていません。
そもそも従来の対策で想定している標的型メール攻撃は、「フリーメールを使う」とか、「日本語がたどたどしい」とか、技術的レベルの低い迷惑メールクラスであり、そのレベルの対策では、対応できない事態がすでに進行しているということです。
なお、記事の中で、サイバー犯罪対策課は「送金前には、相手先に電話で連絡するなどしてほしい」と言っているようですが、時差のある海外に電話して、現地語で送金先のインターネットバンクを確認するなどの手間のかかることはそんなに簡単にはできないのではないでしょうか?
完璧になりすましができれば、犯罪は成功する
上記事件では、メールでの発注まではほんとうの取引が進行しており、代金送金の段階でなりすましメールが発信されました。被害者がインターネットバンキングへの送金を不信に思わなかったのは、犯人が巧妙に誘導したからだと思われます。それができたのは、これまでの本物のメールのやりとりを、犯人が十分に研究し、完璧になりすまして、被害者を信用させたからです。
メールが盗み見ることができれば、こういうことができてしまうのです。
さらに悪いことに、じつはメールを盗み見るというのは、特別高度なスキルが必要なわけではなく、SE(システムエンジニア)レベルであれぱできてしまうことです。
ですから、どんな内容のメールであれ、万一、窃取されても盗み見られないようにすること、すなわちメールの暗号化がどうしても必要なのです。
メールを暗号化するには
以前、メールを暗号化していますか で書いたように、メールの暗号化はメールサーバーに実装される機能です。すなわち、メールサーバーが暗号化プロトコルに対応していれば、送信サーバーで自動的に暗号化して送信、受信サーバーでは暗号化されたメールを受信した場合、自動的に復号化します。ですから、メールユーザーのレベルでメールを暗号化するには、次の3つのステップが必要です。
- 自分のメールが暗号化されているか確認する。
- 暗号化されていなければ、暗号化に対応しているメールサーバーに新たにメールボックスを作り、メールアドレスを作成する(独自ドメインのついたメールアドレスであれば、メールアドレスを移転する)。
- メールソフトの設定を新しいメールボックス用に変える。
さて、メールの暗号化には一つ大きな問題があります。それは自分のメールサーバーだけ暗号化に対応しても、相手先のメールサーバーも暗号化に対応していないと、メールは暗号化されないということです。
なので、インターネットユーザーは 4番目として、
- メールの相手にメールの暗号化を勧める。
というステップを踏む必要があります。
まとめ
2016年830万円を騙し取られた嬬恋村の事件では、犯人が事前にメールのやり取りを盗み読みし、メールの相手先に完璧になりすましたために、被害者はニセメールを見破ることができませんでした。これまでの標的型攻撃メール対策は全く通用しなかったのです。メールが平文で送られ続ける限り、今後もメールを盗み見し、完璧になりすました者が似たような事件を引き起こすことでしょう。すべてのメールを暗号化し、仮に窃取されても中身が読めないようにすることが肝要です。