受信トレイの内側:サイバー犯罪者があなたのメールアカウントに侵入しようとする理由

受信トレイはそれ自体が一種のアイデンティティシステムです。それを掌握した者は、さらにはるかに多くのものを手に入れられる可能性があります

Image

メールは単なるコミュニケーション手段や、数あるオンラインアカウントのひとつではありません。私生活においても仕事においても、メールは「すべての鍵」を握っています。他のアカウントのパスワードをリセットし、本人確認を行う手段にもなり得るのです。パスワードリセットのリンクが届き、アカウントの通知が蓄積され、予約の確認や請求書の保管、本人確認の起点となる場所——それがメールアカウントです。

つまり受信トレイには、あなたに関する何年分もの詳細な情報が蓄積されている可能性があります。所有物、利用しているサービス、行動範囲、信頼している相手、そして他のアカウントへのアクセス手段——そのすべてがそこにあるかもしれません。

だからこそ、受信トレイはサイバー犯罪者にとって格好の標的となっています。個人や業務のアカウントとデータを守りたいなら、セキュリティは受信トレイから始めなければなりません。

攻撃者が受信トレイへのアクセスを狙う理由

攻撃者が受信トレイを狙うのは、そこからデジタルライフ全体への足掛かりを得られるからです。メールアカウントにアクセスできれば、複数の他アカウントのパスワードをリセットし、銀行やSNS、クラウドストレージなどから送られてくるワンタイムパスコードを横取りすることも可能になります。

攻撃者は痕跡を残さないよう、自動転送ルールを設定することもあります。これにより、被害者が問題を解決したと思った後も、メッセージを受信し続けることができます。つまり、パスワードをリセットしても、そのリセットコードが攻撃者のもとに届いてしまうのです。また、アクセストークンや連携アプリ、アクティブなセッションを悪用して、侵入した状態を維持しようとするケースもあります。

ハッカーはあなたの写真にアクセスして恐喝に利用したり、会話を盗み見たりすることもあります。そうした情報は、あなたが信頼する組織を装った巧妙なフィッシングメールを作成するための足がかりとなります。送金や手数料の支払い、個人情報の提供を求めるメールを送りつけ、なりすまし詐欺を実行するのです。攻撃者があなたに関する情報(アカウントの詳細など)を多く持てば持つほど、フィッシング攻撃の説得力は増していきます。

フィッシングは深刻な脅威として、依然として収まる気配がありません。むしろ逆です。ESETのテレメトリデータによると、2025年下半期の悪意のあるメール検出数は、前の半期と比較して36%増加しています。

Image
Image

職場への影響はさらに深刻になる可能性があります。企業のメールアカウントにアクセスされると、ハッカーはクラウドアプリを起動し、共有ドライブにアクセスし、CRM・財務・人事システムを覗き見て、同僚や顧客とのやり取りを盗聴し、顧客データにまでアクセスできるようになります。

企業のメールアカウントへのフィッシング攻撃は、より大規模なデータ侵害、恐喝・ランサムウェア攻撃、スパイ活動への入口となることが少なくありません。英国政府の最新の統計データによると、過去1年間で最も多いサイバー攻撃の形態はフィッシング(38%)であり、次いで「メールでの組織なりすまし」(12%)が続いています。

Image

受信トレイの防御がより困難に

メールは技術・アイデンティティ・人間の信頼が交差する場であるため、攻撃者にとって依然として魅力的な標的であり続けています。フィッシングが狙うのは、セキュリティの連鎖における最も弱い環——人間です。私たちは日々、請求書の受け取り、配送状況の確認、人事通知、顧客からの依頼、パスワードリセット、会議の招待、セキュリティ警告など、多くのメールを時間的プレッシャーの中で処理しています。これらのメッセージの多くは、クリック・承認・ダウンロード・返信・支払いなどの行動を求めてきます。攻撃者はこの日常的なルーティンを巧みに悪用します。見慣れた送信元に見えるメール、多忙な瞬間に届く連絡、緊急性を演出した文面——こうした状況では、注意深いユーザーでもミスを犯してしまいます。なりすましやソーシャルエンジニアリングを駆使することで、ハッカーの成功率はさらに高まります。

昨年発生した侵害の62%に人的要因が絡んでおり、ソーシャルエンジニアリングは全侵害の16%を占める3番目に多い侵害パターンとなっています(Verizon調べ)。攻撃者は常に新たな手口を模索しており、同レポートによると、モバイルフィッシングシミュレーションにおける「成功」クリック率の中央値は、メールのそれと比べて40%高いとされています。

攻撃者はフィッシングキャンペーンの成功率を高めるため、より高度なツールも活用しています。生成AI(GenAI)を使えば、脅威アクターは文法・スペルともに完璧なフィッシングメッセージを大量に作成・展開することができます。

典型的な事例:BEC(ビジネスメール詐欺)

記録に残る最も深刻かつ高額な被害をもたらしたサイバー攻撃の一部は、受信トレイへの侵害から始まっています。以下はその代表例です。

  • FacebookとGoogle:このテック大手2社は、正規サプライヤーを装ったハッカーから偽の請求書と偽造書類をメールで送りつけられ、総額1億2,000万ドル以上の資金をだまし取られました
  • Children’s Healthcare of Atlanta(アトランタ小児医療センター):ある建設会社が病院の新建築プロジェクトの元請けに選ばれたことを公表した直後、機転の利く詐欺師たちがその建設会社になりすまして支払い請求を送りつけました。CFOからの送信を装い、会社のレターヘッドとメールアドレスを偽造したとされています
  • Crelan銀行:同行では、従業員が詐欺師の管理する口座への送金を指示され、7,500万ドル以上の損失を被りました。この事件では、詐欺師が幹部のメールアカウントを乗っ取った後、最高経営責任者(CEO)になりすましたとされています。

受信トレイを守るために

個人ユーザーの方は、すべてのアカウントに強力でユニークなパスワードやパスフレーズを設定し、信頼性の高いパスワードマネージャーに保存してください。あるいは、パスキーのようなパスワードレス方式を活用するのもよいでしょう。いずれにせよ、多要素認証(MFA)は必ず有効にしてください——現在はほぼすべてのサービスで利用できます。アカウント回復オプションも定期的に最新の状態に保ち、古い電話番号や使われていないバックアップ用メールアドレスを攻撃者に悪用されないようにしましょう。

また、メールの設定を定期的に確認することも大切です。見覚えのない転送ルール、不審なフィルター、身に覚えのない連携アプリや端末がないかチェックしてください。受信トレイへの侵害が疑われる場合は、パスワードを変更し、不審なセッションを無効化し、回復情報を見直したうえで、自分の知らないところでメッセージが転送されていないか確認してください。

その他のセキュリティのベストプラクティスを以下に挙げます。

  • フィッシングへの意識を高める。身に覚えのないメールはすべて慎重に扱う。送信者名にマウスを合わせ、実際のアドレスと一致しているか確認する。送信者のドメインのスペルにタイプミスがないかチェックする。不審なメールのリンクはクリックせず、添付ファイルも開かない。必要に応じて、別の手段で送信者に直接確認する。
  • 自分で操作していないデバイスコードやMFA認証リクエスト(スマートフォンへの通知など)は絶対に承認しない。ハッカーが試みている可能性がある。
  • アカウント回復オプションを常に最新の状態に保つ。
  • 企業の従業員は、CEOやIT部門からのものに見えても、緊急の送金依頼には十分注意する。同僚への確認や別の連絡手段を通じて必ず検証する。
  • 従業員向けのセキュリティ意識向上トレーニングを真剣に受け止め、詐欺師が使う最新のフィッシング手口や技術を把握する。
  • 信頼できるプロバイダーの包括的なセキュリティソリューションを導入し、マルウェアや不審なメッセージから身を守る。

事実上すべての人がメールを利用しています。だからこそ、メールはハッカーにとって永続的な標的であり続けます。しかし、すべての受信トレイが危険にさらされる必要はありません。適切な対策を講じることで、オンラインでの安全を最大限に守りましょう。

翻訳元: https://www.welivesecurity.com/en/cybersecurity/inside-inbox-cybercriminals-want-break-email-account/

ソース: welivesecurity.com