メールアカウント侵害(EAC): ハッカーがあなたの受信トレイを乗っ取る仕組み
メールアカウント侵害(EAC)は、攻撃者が認証情報の盗難、ソーシャルエンジニアリング、またはマルウェアを通じて正当なメールアカウントへの不正アクセスを獲得する場合に発生します。企業幹部をターゲットとするビジネスメール侵害とは異なり、EACはあらゆる規模の個人および企業に影響を与えます。FBI の インターネット犯罪苦情センターによると、2022年のEACは27億ドルを超える損失をもたらし、1件あたりの平均個人損失は8,000ドルに達しました。 アカウント内に侵入したら、犯罪者は数日から数週間にわたって静かに活動し、メールパターン、人間関係、金銭取引を研究します。彼らは納税書類、メールに保存されているパスワード、銀行明細、ビジネス請求書など、機密情報を探します。侵害されたアカウントは、被害者の連絡先に対する攻撃を仕掛けるための武器となります。既知の送信者からのメールは、受信者からの信頼度が高いためです。 EAC攻撃の高度化は劇的に進んでいます。攻撃者は現在、人工知能を使用して執筆スタイルを模倣し、既存の会話に返信することで説得力のあるメールスレッドを作成し、被害者が旅行中または利用不可のときに詐欺的なリクエストのタイミングを計ります。典型的なEAC事件は検出されるまで1~30日間続き、その間に攻撃者は銀行口座を枯渇させたり、送金を変更したり、詐欺的な税務申告をしたり、盗まれた個人情報をダークウェブマーケットプレイスで売却したりすることができます。
主な手口
- • フェイクログインページを通じた認証情報の収集: 攻撃者は正当なサービス(Microsoft、Google、銀行)になりすましたメールを送信し、説得力のあるレプリカログインページへのリンクを含み、入力されたユーザー名とパスワードをキャプチャします。
- • パスワードスプレー攻撃: 犯罪者は一般的なパスワードを数千のメールアカウント全体で試行し、アカウントセキュリティが弱いプロバイダーまたは複数のサービス間でパスワードを再利用するユーザーをターゲットにします。
- • 公共WiFiを通じたセッションハイジャック: 攻撃者は公開ネットワーク上の暗号化されていない接続を監視して、パスワードなしでメールアカウントへのアクセスを可能にするセッションクッキーをインターセプトします。
- • メール転送ルールの作成: 内部に侵入した後、攻撃者は非表示の受信トレイルールを作成し、すべての受信メールのコピーを外部アドレスに自動的に転送し、パスワード変更後も監視を継続できるようにします。
- • 高額アカウントへの標的型スピアフィッシング: 犯罪者はソーシャルメディアと専門ネットワークで被害者を調査し、その個人向けに特別に設計されたマルウェアまたは認証情報盗難リンクを含むパーソナライズされたメールを作成します。
- • SIM スワップによる2要素認証の回避: 攻撃者は携帯キャリアに説得して、被害者の電話番号を彼らが管理するSIMカードに転送させ、SMSで送信される認証コードをインターセプトし、アカウントアクセスを取得します。
見分け方
- あなたが開始していない予期しないパスワードリセット通知またはセキュリティアラート。特に、アカウントアクティビティログに表示される見知らぬ場所またはデバイスからの複数の失敗したログイン試行。
- 受信トレイまたは送信済みフォルダから消えたメール。誰かが痕跡を隠すために対応を削除したことを示すか、開いたことのない未読メールの表示。
- あなたのアドレスから連絡先が受け取った奇妙なメール。例えば、緊急の金銭要求、疑わしいリンク、または異常な時間に送信された特性に合わないメッセージ。
- あなたが作成しなかった見知らぬメール転送ルール、フィルター、または受信トレイ設定。特に銀行通知など特定のタイプのメッセージを自動的に削除またはリダイレクトするルール。
- あなたが訪れたことのない場所からのログイン通知、またはデバイスを使用していなかった時間。ほとんどのメールサービスが提供するセキュリティアクティビティログに表示されます。
- 正しいパスワードでアカウントにログインできない、または回復用メールアドレスまたは電話番号が許可なく変更されていることに気付く。これはアカウント回復へのアクセスをブロックします。
身を守る方法
- Google Authenticator または Microsoft Authenticator などの認証器アプリを使用して多要素認証(MFA)を有効にします。SIMスワップ攻撃に脆弱なSMSコードではなく、より強力なアカウント保護を提供します。
- Bitwarden や 1Password などのパスワードマネージャーを使用して、メールアカウント用に最低16文字の一意で複雑なパスワードを作成します。このパスワードは他のウェブサイトやサービスで再利用しないでください。
- 少なくとも月に1回、メールアカウントのセキュリティ設定を定期的に確認します。不正な転送ルール、アクセス権を持つ不明なデバイス、見知らぬ回復連絡先、予期しない場所からの最近のログインアクティビティをチェックしてください。
- 評判の良いVPNサービスを使用せずに公共WiFiネットワークでメールアカウントにアクセスしないようにしてください。必要な場合、パスワードを入力しないでください。現在のセキュリティ証明書を持つ以前に認証されたセッションのみを使用してください。
- パスワード変更、回復情報の更新、転送ルール作成、新しいデバイスからのログインなど、重要なアカウント変更に対するメールアラートを設定して、不正アクセスを即座に検出してください。
- 財務アカウントとパスワードリセット専用の個別のメールアドレスを作成します。オンラインショッピング、ソーシャルメディア、またはニュースレター購読に公開または使用しないでください。これはデータ流出への露出を減らします。
実例
小規模企業の所有者は、彼女のアカウントで異常なアクティビティが検出されたというMicrosoft 365セキュリティアラートと思われるメールを受け取りました。メールには「本人確認」へのリンクが含まれており、説得力のあるMicrosoftログインページのレプリカに導きました。認証情報を入力した後、攻撃者は彼女のメールにアクセスし、2週間ビジネス対応を研究しました。その後、既存の請求書スレッドを使用して彼女の会計士にメールを送信し、47,000ドルの支払い用に更新された送金指示が含まれていました。詐欺が発見される前に送金されました。
フリーランスグラフィックデザイナーは、ある朝Gmailアカウントにアクセスできないことに気付きました。パスワードをリセットしようとしたとき、彼の回復用電話番号が変更されていることを発見しました。攻撃者はダークウェブのデータ流出から購入した認証情報を使用してメールにアクセスし、すぐにセキュリティ設定を変更しました。5日間にわたって、犯罪者はデザイナーの300人以上のクライアントにフィッシングメールを送信し、27アカウントが侵害されました。Googleがアカウントを停止するまで。デザイナーはいくつかの長期クライアントを失いました。彼らは彼を侵害について責めました。
退職したカップルのメールアカウントは、休暇中にホテルの公共WiFiネットワークで侵害されました。攻撃者は非表示の転送ルールを作成し、3週間メールを監視しました。カップルの財務顧問が彼らの四半期投資サマリーを送信したとき、犯罪者はそれをインターセプトし、時間的制約のある投資機会についての緊急の偽メールを作成し、125,000ドルを詐欺的アカウントに転送するようカップルを説得しました。夫婦が家に帰り、実際のアドバイザーに「投資」について連絡するまで、犯罪は発見されませんでした。
よくある質問
攻撃者は最初どのようにして私のメールパスワードを取得しますか?
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), メールアカウント侵害(eac): ハッカーがあなたの受信トレイを乗っ取る仕組み is described at https://scamlens.org/ja/encyclopedia/email-account-compromise.