「新型コロナウイルスによる肺炎への感染予防をめぐり、京都府木津川市の府山城南保健所を装った不審なメールが出回っていることが30日に判明。同保健所はコンピューターウイルスに感染する恐れがあるとして、添付ファイルを開かず削除するよう呼びかけている。
府によると同保健所は23日、管内約40の障害福祉サービス事業者あてに、感染予防のための手洗いや、消毒用エタノールの設置などを呼びかけるメールを送った。ところが、このメールを受信したパソコンが、「エモテット」と呼ばれるウイルスに感染しており、文面が悪用された可能性があるという。不審なメールには、添付ファイルを開くよう促す内容が書かれているという。
こうしたメールは全国の企業や個人に送られており、30日午前までに、全国から同保健所に約100件の問い合わせが寄せられているという。」 *1
2014年世界的に猛威を振るったエモテットですが、日本でも昨年11月頃から被害が増え、注意が呼びかけられました。今回の事例では、保健所を装ったなりすましメール、しかも現在日本中が神経質になっている新型コロナウイルスの感染予防に関する内容です。普段であれば削除するなりすましメールでも、話題性と関連性、そしてメール受信者の関心の度合い次第では判断が鈍ってしまいます。
まず前提として理解しておかなければいけないことは、メールアドレスとメールの発信元の改ざんはそれほど難しくないということです。
ではどうするか。「不審なメールは開かない」、とよく言われますが、これでは不審に思わなかった場合はメールなり添付ファイルを開いてしまい、マルウェア に感染してしまいます。不審に思うかいなかの判断は、メールアドレスやメールの発信元、件名や本文の内容から判断されるのが一般的です。ただ、先ほども述べた様に、メールアドレスとメールの発信元の改ざんは難しくありません。また、件名と本文の内容もソーシャルエンジニアが駆使されていれば見分けることは困難です。そこで、判断材料を増やすという対応が有効であると考えます。対策は複数ありますが、費用の発生するエンドポインのセキュリティ製品の紹介や、社内のIT担当を巻込むような対策は行動を起こすハードルが上がるためここでは割愛します。判断材料を増やす前と同じ条件、つまり、追加コストが掛からずに一人で可能な対応を紹介します。
メールのヘッダを参照し、Return-Pathを確認する
使用しているメールソフトにより、ヘッダの表示方法は異なるので、ここではOutlook365を例に取ります(自身で使用しているメールソフトのヘッダの表示方法は、検索すれば簡単に見つかりますので、これを気に是非調べてみてください)。
メールを開封したら、メール内右上の「・・・」(別名「その他の操作」)をクリック(「・・・」は「返信」、「全員に返信」、「転送」の横にあります)。次に、「メッセージの詳細を表示」をクリックすると、新しいウィンドウが開きますので、そこでReturn-Pathを確認します。表示された詳細が長く、Return-Pathが一瞬で見つからない場合は、文書内の単語検索を行いましょう(Macであれば、”command + F”、Windowsであれば “Ctrl+ F”で検索バーを表示させ、Return-Pathを入力)。Return-Pathが見つかったら、そこに記載されているメールアドレスを確認。ここに表示されるメールアドレスは、一部メルマガなどを除きほとんどの場合が実際に配信に使われたメール送信者のアドレスです。
Outlook365の場合は、クリック2回分余計な作業が発生しますが、添付ファイルを開く前や送金関連の変更に関するメールを受領した際などは、このReturn-Pathに表示されるメールアドレスを見て本当のメール送信者を確認し、脅威に対する防衛力を高めてみてはいかがでしょうか。