Eメールスプーフィング

この用語は、実際には送信者のものではないアドレスから送信されたと偽る電子メールに適用される。そのアドレス宛に返信されたメールはバウンスするか、身元を偽装された無関係の第三者に配信される可能性がある。使い捨てメールアドレスや「マスクされた」電子メールは別のトピックである。これらはユーザーの通常のアドレスではないマスクされた電子メールアドレスを提供し、通常のアドレスは公開されない（たとえば、収集されないようにするため）が、そこに送信されたメールはユーザーの実際のアドレスに転送される^[2]。

電子メールに使用される本来の通信プロトコルには、組み込みの認証方法がない。この欠陥により、スパムやフィッシングメールで受信者を誤解させるためのなりすましが可能になる。最近の対策により、インターネット上の送信元からのこのようななりすましは困難になっているが、完全に排除されたわけではない。内部ネットワークの中には、同じネットワーク上の同僚の侵害されたコンピュータからのなりすましメールに対する防御策を備えているものはほとんどない。なりすましメールに騙された個人や企業は、多額の経済的損失を被る可能性がある。特になりすましメールは、ランサムウェアに感染させるためによく使用される。

Simple Mail Transfer Protocol（SMTP）電子メールが送信される際、最初の接続で2つのアドレス情報が提供される。

• MAIL FROM: 一般的に「Return-path:」ヘッダーとして受信者に提示されるが、通常エンドユーザーには見えない。また、デフォルトでは、送信システムがそのアドレスに代わって送信することを許可されているかどうかのチェックは行われない。
• RCPT TO: 電子メールの配信先アドレスを指定する。通常エンドユーザーには見えないが、「Received:」ヘッダーの一部としてヘッダーに存在する場合がある。

これらは合わせて「エンベロープ」アドレス指定と呼ばれることがある。これは従来の紙の封筒に例えたものである^[3]。受信側メールサーバーがこれらの項目のいずれかに問題があることを通知しない限り、送信システムは「DATA」コマンドを送信し、通常は以下を含むいくつかのヘッダー項目を送信する。

• From: Joe Q Doe <joeqdoe@example.com> – 受信者に見えるアドレスであるが、これもデフォルトでは送信システムがそのアドレスに代わって送信する権限を持っているかどうかの確認は行われない。
• Reply-to: Jane Roe <Jane.Roe@example.mil> – 同様に確認されない。
• Sender: Jin Jo <jin.jo@example.jp> – これも確認されない。

その結果、電子メールの受信者は、「From:」ヘッダーのアドレスから電子メールが送信されたと認識する。受信者が「MAIL FROM」アドレスを見つけることができる場合もあり、メールに返信した場合は「From:」または「Reply-to:」ヘッダーに示されているアドレスのいずれかに送信されるが、これらのアドレスはいずれも通常信頼できないため^[4]、自動化されたバウンスメールはバックスキャッタを生成する可能性がある。

電子メールのなりすましは電子メールアドレスの偽造には有効であるが、メールを送信したコンピュータのIPアドレスは、通常、電子メールヘッダーの「Received:」行から特定できる^[5]。ただし悪意のあるケースでは、これは所有者の知らないうちに電子メールを送信している、マルウェアに感染した無実の第三者のコンピュータである可能性が高い。

フィッシングやビジネスメール詐欺には、一般的に電子メールのなりすましの要素が含まれている。

電子メールのなりすましは、ビジネスおよび財務に深刻な結果をもたらす公的な事件の原因となっている。2013年10月に通信社宛てに送信された電子メールは、スウェーデンの企業Fingerprint Cardsから送信されたかのように偽装されていた。電子メールには、サムスンが同社の買収を提案したと記載されていた。このニュースは広まり、同社の株価は50%急騰した^[6]。

多くのより現代的な例の中でも、KlezやSoberなどのマルウェアは、感染したコンピュータ内の電子メールアドレスを検索し、それらのアドレスを電子メールのターゲットとして使用するだけでなく、送信する電子メールの「From」フィールドに信頼できる偽装を作成するためにも使用することがよくある^[要出典]。これは、電子メールが開封される可能性をさらに高めるためである。たとえば以下のようになる。

1. アリスは感染したメールを受信し、それを開いてワームのコードを実行する。
2. ワームのコードはアリスの電子メールアドレス帳を検索し、ボブとチャーリーのアドレスを見つける。
3. ワームはアリスのコンピュータからボブに感染した電子メールを送信するが、チャーリーから送信されたかのように偽装されている。

この場合、ボブのシステムが受信したメールにマルウェアが含まれていることを検出したとしても、実際にはアリスのコンピュータから送信されたものであるにもかかわらず、ソースはチャーリーであると表示される。一方アリスは自分のコンピュータが感染していることに気づかない可能性があり、チャーリーはボブからエラーメッセージを受け取らない限りそのことについて何も知らない。

従来、メールサーバーはメールアイテムを受け入れた後、何らかの理由で配信できなかったり隔離されたりした場合に、配信不能レポート（NDR）または「バウンス」メッセージを送信することができた。これらは「MAIL FROM:」すなわち「Return Path」アドレスに送信されていた。偽造されたアドレスが急増した現在では、検出されたスパムやウイルスなどに対してNDRを生成せず^[7]、SMTPトランザクション中に電子メールを拒否することがベストプラクティスとなっている。メール管理者がこのアプローチを怠った場合、システムは無実の当事者に「バックスキャッタ」メール（それ自体がスパムの一種）を送信したり、「Joe job」攻撃の実行に利用されたりする原因となる。

サーバー間の電子メールトラフィックの暗号化に使用されるSSL/TLSシステムを使用して認証を強制することもできるが、実際にはほとんど使用されておらず^[8]、その他の潜在的な解決策の多くも普及していない。

以下を含むいくつかの防御システムが広く使用されるようになっている。

• Sender Policy Framework (SPF)  – 電子メールの配信中に送信元アドレスの偽造を検出するように設計された電子メール認証方式^[9]。
• DomainKeys Identified Mail (DKIM)  – 電子メール内の偽造された送信元アドレス（電子メールのなりすまし）を検出するように設計された電子メール認証方式。これは、フィッシングや電子メールスパムでよく使用される手口である。
• Domain-based Message Authentication, Reporting and Conformance (DMARC)  – 電子メール認証プロトコル。電子メールのなりすましとして一般的に知られている不正使用からドメインを保護する機能を電子メールドメイン所有者に提供するように設計されている。DMARCを実装する目的と主な結果は、ビジネスメール詐欺攻撃、フィッシングメール、電子メール詐欺、およびその他のサイバー脅威活動でドメインが使用されるのを防ぐことである。

偽造された電子メールの配信を効果的に阻止するには、送信元ドメイン、そのメールサーバー、および受信システムがすべて、これらのより高い認証基準に合わせて正しく構成されている必要がある。その使用は増加しているものの、ドメイン認証の形式を持たない電子メールの割合については、8.6%^[10]から「ほぼ半数」まで、推計に大きなばらつきがある^[11][12][13]。このような理由から、受信側メールシステムには通常、構成が不十分なドメインや電子メールの処理方法を設定するためのさまざまな設定が用意されている^[14][15]。

電子メールのセキュリティ向上に関する研究は行われているが、電子メールアドレスをなりすましに使用されたユーザーへの通知についてはほとんど重視されていない。現在、偽の電子メールを特定できるのは電子メールの受信者のみであり、アドレスをなりすまされたユーザーは、受信者が手動でメッセージを精査するか、DMARCレポートが有効になっていない限り気づかないままである。

ビジネスメール詐欺攻撃は、組織を攻撃するために電子メール詐欺を利用するサイバー犯罪の一種である。例としては、請求書詐欺や、他の犯罪活動のデータを収集するために設計されたスピアフィッシング攻撃などが挙げられる。電子メールのなりすましに騙された企業は、さらなる財務上の損害、事業継続への悪影響、および風評被害を被る可能性がある。また、偽の電子メールはマルウェアの拡散にも使用される可能性がある。

典型的には、この攻撃では上司、信頼できる顧客、またはサプライヤーを不正に装ったなりすましメールを送信することで、組織内の特定の役職の従業員を標的にする^[16]（この種の攻撃はスピアフィッシングとして知られている）。電子メールは、支払いの承認やクライアントデータの公開などの指示を出す。電子メールでは、被害者を騙して詐欺師の銀行口座に送金させるために、ソーシャル・エンジニアリングが頻繁に使用される^[17]。

米国の連邦捜査局（FBI）は、2016年6月から2019年7月までの間に、BEC（ビジネスメール詐欺）攻撃に関連する米国および国際的な損失を260億ドルと記録した^[18]。より最近の数値では、2013年から2022年までの損失は500億ドルを超えると推定されている^[19]。

• ダブリン動物園は2017年にこのような詐欺で13万ユーロを失った。大部分は回収されたものの、総額50万ユーロが奪われた^[20]。
• オーストリアの航空宇宙企業FACC AGは、2016年2月の攻撃を通じて4,200万ユーロ（4,700万ドル）をだまし取られ、その後CFOとCEOの両方が解雇された^[21]。
• ニュージーランドのテ・ワナンガ・オ・アオテアロアは、12万NZドルをだまし取られた^[22]。
• ニュージーランド消防局は2015年に5万2,000ドルをだまし取られた^[23]。
• Ubiquiti Networksは2015年にこのような詐欺により4,670万ドルを失った^[24]。
• 米国セーブ・ザ・チルドレン（Save the Children USA）は、2017年に100万ドルのサイバー詐欺の被害に遭った^[25]。
• オーストラリア競争・消費者委員会^[26]にビジネスメール詐欺攻撃を報告したオーストラリアの組織は、2018年に約280万豪ドルの経済的損失を被った^[27]。
• 2013年、エヴァルダス・リマサウスカスとその従業員は、企業の電子メールシステムにアクセスするために何千通もの詐欺メールを送信した^[28]。彼は2013年から2015年にかけて、Googleから約2,300万ドル、Facebookから約9,800万ドルをだまし取ったとして起訴された。彼は両社が取引を行っていた台湾のハードウェアメーカー、Quanta Computerになりすまし、ラトビアに同名の会社を設立することで犯行に及んだ^[29]。