MENU
会社の実績はこちら
Webサイトを見る
技術メモ

納車2か月後「ETCセットアップ完了」のメール。セキュリティエンジニアが本物か詐欺か迷った話

mike

最近、フィッシングメールは年々巧妙になっています。

以前であれば、日本語がおかしかったり、明らかに怪しいURLだったりして見抜きやすいものも多くありました。

しかし現在では、生成AIの普及により自然な日本語で書かれたメールも増え「一目で偽物」と判断することが難しくなっています。

実は先日、私自身も本物かどうか判断に迷うメールを受信しました。

目次
  1. 本物かもしれないと一瞬迷った理由
  2. すぐにクリックしなかった理由
  3. まずは送信元を検索した
  4. Gmailの「原文を表示」でメールヘッダーを確認
  5. メールのどこが気になったのか
  6. 「証拠を積み重ねる」という考え方
  7. 被害を防ぐために誰でもできること
  8. まとめ

本物かもしれないと一瞬迷った理由

先日、私のメールアドレス宛に一通のメールが届きました。

普通であれば「またフィッシングメールか」と思って終わるかもしれません。

しかし今回は少し事情が違いました。

このメールが届く2か月前に車を納車していたのです。

ETC車載器の書類に色々と記入した覚えもあったため、

これは本物の案内メールなのでは?

と、一瞬考えました。

まさに攻撃者が狙う「迷わせる」状況です。

すぐにクリックしなかった理由

私は脆弱性診断やインシデント対応のヒアリングを経験した過程で、

仮説だけで突っ走るのではなく、情報を列挙して判断する

という考え方を徹底的に学びました。

そのため、まず行ったのはメールのリンクをクリックすることではありません。

最初に確認したのは以下の3点です。

  • 送信元メールアドレス
  • 同じメールを受信した人がいるか
  • メールヘッダー

まずは送信元を検索した

送信元メールアドレスをインターネットで検索すると、

同様のメールを受信したという事例や、このメールについて調査・注意喚起している記事が見つかりました。

この時点で、

少なくとも自分にだけ届いたメールではないな。

ということが分かります。

ここでようやく「さらに詳しく調べよう」という判断になりました。

Gmailの「原文を表示」でメールヘッダーを確認

次に、Gmailの**「原文を表示」**からメールヘッダーを確認しました。

メールヘッダーには、

  • どのサーバーを経由して届いたのか
  • SPF
  • DKIM
  • DMARC

など、メールの配送に関する情報が記録されています。

確認したところ、このメールは北米のAmazon(AWS)関連インフラを経由して配送されていました。

しかし、ここで重要なのは、AWSを利用しているから怪しいわけではないということです。

現在では多くの企業がAWSを利用しています。

正規の企業メールでもAWSから送信されることは珍しくありませんし、攻撃者も同じクラウドサービスを悪用する場合があります。

つまり、この事実だけでは判断がつかないということです。

メールのどこが気になったのか

今回のメールには、いくつか気になる点がありました。

件名が「再度のご連絡」

「再度」という言葉があることで、

あれ、前にもメール来てた?

という心理になります。

人は”見落とした”と思うと、焦って確認したくなります。

しかし、メールボックスもゴミ箱も確認しても同様のメールは受信していませんでした。

ダウンロードを急がせる文章

本文は非常に短く「こちらから証明書を取得してください」という内容とURLだけでした。

さらに有効期限も書かれており「今すぐアクセスしなければ」という心理を誘導しています。

これはソーシャルエンジニアリングで非常によく使われる手法です。

納車したばかりというタイミング

今回、一番迷った理由はこれです。

私はETC車載器を取り付けたばかりでした。

そのため「本物でも不思議ではない」と思えたのです。

ここで重要なのはタイミングが一致したからといって情報漏えいがあったとは限らないということです。

たまたま送られてきた可能性もありますし、正規メールである可能性もあります。

逆に情報漏えいがあった可能性もゼロではありません。

しかし証拠がない以上は決めつけてはいけません

攻撃者はどのように騙すのか

フィッシングメールの流れは非常にシンプルです。

  1. メールアドレスを収集
  2. 本物そっくりのメールを送信
  3. ユーザーがリンクをクリック
  4. 偽サイトへ誘導
  5. ID・パスワードやカード情報を入力
  6. 情報を窃取
  7. 不正ログイン・金銭被害

最近では、技術よりも人間心理を狙う攻撃が増えています。

「期限があります」

「再送です」

「重要なお知らせです」

こうした言葉で冷静な判断を奪おうとします。

「証拠を積み重ねる」という考え方

今回、私は最初から「フィッシングメールだ」とも「正規メールだ」とも決めつけませんでした。

調査した内容は、

  • 送信元メールアドレス
  • 同様の受信報告
  • Gmailのメールヘッダー
  • SPF・DKIM・DMARCの認証情報
  • 配送経路
  • メール本文

などです。

どれか一つだけで判断するのではなく複数の証拠を組み合わせて考える

これはOSCPの侵入テストでも、インシデント調査でも共通する考え方です。

被害を防ぐために誰でもできること

特別な知識がなくても、次の行動だけで被害を防げる可能性は大きく高まります。

  • メール内のリンクはすぐにクリックしない
  • 送信元メールアドレスや件名をネット検索してみる
  • 期限がありますと書かれていても立ち止まって確認する
  • 他の人の意見を聞いてみる

まとめ

今回のメールは、私自身も「本物かもしれない」と迷いました。

納車から2か月というタイミングだったからです。

しかし、そこで慌ててリンクをクリックすることはせず、

  • 送信元を検索する
  • 同様の事例を調べる
  • メールヘッダーを確認する
  • 配送経路や認証情報を確認する

という順番で、一つずつ情報を集めました。

セキュリティ対策というと、高度なツールや専門知識を思い浮かべるかもしれません。

しかし実際には「すぐにクリックしない」「根拠を集めて判断する」という基本的な姿勢こそが、最も効果的な防御になります。

脆弱性診断やインシデント対応でのヒアリングを通して実感したのは、セキュリティは「疑うこと」ではなく、事実を確認し、証拠に基づいて判断することだという点です。

フィッシングメールは誰にでも届きます。だからこそ、焦らず、慌てず、まず確認する。その一手間が、大切な情報や資産を守ることにつながります。

ABOUT ME
ラクダマル
ラクダマル
株式会社DeveloX代表
YouTube
個人事業主3年目、法人2期目です。
大学卒業後、東京でサイバーセキュリティのエンジニア&コンサルとして勤務、2021年より地域おこし協力隊として九州に移住。
2024年より独立・起業。小中学校のプログラミング教育のサポートやシステム開発をしています。
ブログでは起業・独立・勉強したことを発信します!
趣味は読書とロードバイク。
https://develox.jp
Recommend
こんな記事も読まれています
記事URLをコピーしました