大学生向け就職詐欺メール - mailinspector’s blog

概要

大学生を主要ターゲットとする就職詐欺メールが増加しています。彼らはよりオープンで、詐欺の経験も少なく、これを狙った攻撃に非常に脆弱です。このようなフィッシング詐欺は、単に失望を誘うだけでなく、個人情報を盗用し、経済的損失はもちろん、犯罪への関与の可能性もあるため、必ず攻撃タイプを把握し、予防的に対応することが重要です。これは国際電気通信連合（ITU）の国際メールセキュリティ基準に具体的に説明されています。

1.概観

CNBCの報道によると、2022年にはフィッシング攻撃が2021年比で61%増加し、フィッシング攻撃の精度と高度化が進む中、2023年にもその数がさらに増加する見込みです。 2022年7月、Better Business Bureau(BBB)は、学生に対する就職詐欺メールの危険を警告する記事を発表しました。 そして2023年11月、専門家たちはアメリカ北部地域の学生をターゲットにした新たなフィッシング詐欺を発見しました。これは、ヘッダーの改ざん、類似ドメイン攻撃、URLフィッシングなどの手法を用いて、正規の企業や学校の教授からのメールやメッセージのように見せかけ、受信者に個人情報の提供や偽のウェブサイトへのログイン情報の入力を促すものです。さらに、企業の位置情報が含まれたPDFファイルや悪意のあるURLが含まれている可能性があります。

大学2年生のAさんは2022年10月、Ithaca College出身だと主張する人物から高収入の仕事を提案するメールを受け取りました。その人物は、同大学の生命科学部のリモート行政アシスタントの採用担当者であると主張し、メールには実際の同大学の名誉教授の署名が含まれていました。後にAさんは、そのメールに含まれる担当者の連絡先カードを詳細に調査し、そのメールが特定されていないGmailアカウントから送信されたことを発見し、大学教授を偽装していることに気づきました。 Aさんはこの事実を詳しく調査するまで、そのメールが詐欺であるとは全く気づかなかったと述べています。 (詳細は以下のリファレンスを参照)

大学は就職詐欺の典型的なターゲットです。学生たちは柔軟なリモートワークに対して開かれており、詐欺経験が少ないため、このようなメールフィッシング詐欺に気づくのが難しく、多くの就職詐欺の攻撃を受けています。

2.被害の範囲

就職詐欺メールは、金銭的損失から個人情報の損害、さらには名誉毀損に至るまで、様々な形の被害を引き起こす可能性があります。

実現不可能な給与や利益を約束し、虚偽の名目で研修費、身元調査料、または機材に関する前払いを要求したり、銀行口座情報などの個人的な金融情報を要求することがあります。また、社会保障番号、銀行口座情報、身分証明書のコピーなどの機密個人情報を取得すると、これは金銭的損失や信用スコアの損害につながる可能性があります。盗まれた個人データは他の詐欺師に売却されたり、さらなる詐欺活動に使用されることがあり、それによってより多くのスパム、ターゲットフィッシング試み、またはより深刻な個人情報の侵害が発生する可能性があります。特に詐欺師が被害者の身分を利用してさらなる詐欺を行う場合、就職詐欺の被害者となるだけでなく、犯罪に巻き込まれる可能性もあります。

3. 攻撃タイプ/技術的メカニズム

このような就職詐欺メールを見抜くためには、ハッカーがどのような攻撃タイプと意図を持って被害者を攻撃するのか、そしてそれに対してどのように予防的に対応できるセキュリティ要件が必要かを知ることが重要です。

メールのセキュリティ基準では、このようなハッキングタイプが[7.Threats for targeted email attacks の 7.2 Social engineering email attacks (社会工学的攻撃)]と定義されています。メールセキュリティの国際基準は、国連専門機関と連携している国際電気通信連合(ITU)に登録されているため、国際的に信頼できる内容です。

'社会工学的攻撃'とは、システムの脆弱性を狙う攻撃ではなく、ユーザーをだましてお金を送金させたり、機密情報を盗み出すような心理的な攻撃です。これには、メールヘッダーや送信者情報を操作して、メッセージが合法的な企業や採用担当者など信頼できる情報源から来たように見せかけることが含まれます。

類似ドメイン攻撃: 人の目では識別が難しいほど正規アカウントと似たメールアドレスで悪意のあるメールを送信し、情報漏洩や金銭的損害などの問題を引き起こす攻撃です。例えば、企業/大学の正規メールアドレスのいくつかの文字を変更するか、類似した形の文字（例: "rn" を "m" に置き換える、"0" を "o" に置き換える、例: Gooogle）を使って、合法的なものと似たメールアドレスやドメインを作成します。この巧妙なハッキング技術により、実際のドメインと偽ドメインを一目で区別するのが難しくなります。
URLフィッシング攻撃: 情報入力を促すウェブページを含むURLやファイルを通じてアカウント情報を入力させる攻撃です。これらのURLは、被害者が重要な情報を入力したり、悪意のあるソフトウェアに感染したファイルをダウンロードするよう促すフィッシングサイトへと導くことがあります。PDF、Wordドキュメント、ZIPファイルなどの添付ファイルがある電子メールには、悪意のあるプログラムやランサムウェアが含まれている可能性があり、そのようなファイルを介しての悪意のあるURLによってデバイスのセキュリティが侵害され、データの損失や不正アクセスが発生する可能性があります。

このようなスプーフィング技法は受信者が信頼できるソースの電子メールだと信じさせるために使われるため、このような攻撃に関連するリスクを減らすためには事前に送信者情報を分析して使用者に警告し、先制的に攻撃に対応できなければなりません。

4. 解決策/予防的対応戦略

このようなフィッシングメールも、国際基準の8.2項、9.2項に従った「社会工学的攻撃への対応セキュリティ要件」と「社会工学的攻撃への対策」マニュアルに基づいていれば、効果的な解決策と予防的対応が可能です。

まず、類似ドメイン攻撃に対応するためには、以下のセキュリティ要件を遵守する必要があります。

ステップ1. メールセキュリティ管理者およびメールユーザーが特定のメールアドレスを登録できるようにする必要があります。

ステップ2. 以前のメール履歴を参照して、ユーザーごとに類似メールアドレスの攻撃をブロックする機能が必要です。

これらのセキュリティ要件を反映して以下のようなソリューションの導入を通じて、類似ドメイン攻撃に対する予防的対応が可能です。

ドメイン類似度計算: 受信メールの送信者ドメインを蓄積した後、新たに受信したメールを蓄積されたドメインと比較分析します。3文字以下の類似ドメインをブロックすることができます。トップレベルドメイン(TLD)を変更するか、文字列配列の順序が変わるか、一部の文字を類似する文字や記号に変更して文字列集合を作成する場合、受信メールは一時停止またはブロックされます。単純な文字数の違いだけでドメインの類似度を判断することは推奨されません。

次に、URLフィッシング攻撃に対応するためには、以下のセキュリティ要件を遵守する必要があります。

ステップ1. 個人情報の入力を促すウェブページを含むURLの最終目的地を常に追跡する必要があります。

これらのセキュリティ要件を反映して以下のようなソリューションの導入を通じて、URLフィッシング攻撃に対する予防的対応が可能です。

URL追跡のエンドポイント: すべてのURLの最終目的地まで追跡し、情報入力ガイドの可能性をモニタリングする必要があります。
ウェブページのHTMLソースコードを分析し、ユーザーの個人情報やID、パスワードなどのアカウント情報を提供するよう促す入力フィールドがあるかどうかを確認し、入力された情報が第三者サーバーに送信されるかどうかをチェックする必要があります。

これらの先制的な措置を組み合わせることで、就職詐欺の電子メールはもちろん、その攻撃タイプを持つ電子メールフィッシングのリスクを大幅に減らすことができます。また、これらの攻撃タイプと対応策を把握し、フィッシングであることを認識するためには、国際標準について事前に知り、それらを遵守するソリューションを使用する必要があります。メールインスペクタープラットフォームには、これらの機能要件が反映されています。

5. 結論

デジタル時代において、あなたのデータは物理的資産と同じくらいの価値があります。ハッキング技術はますます巧妙かつ高度化しているため、ハッキングの被害を防ぐためには認識と警戒が重要です。メールのセキュリティ基準には、上記のような社会工学的攻撃だけでなく、多くのメール攻撃タイプに対するセキュリティ要件とソリューションが提供されています。基準を理解し、それに基づいて提供されるソリューションは、高度化するハッキング技術に対する予防的対応方法です。メールのセキュリティ国際基準の遵守状況は、メールインスペクターを通じたメールセキュリティ基準の遵守状況診断から始めることができます。