標的型攻撃において、攻撃者はフリーメールサービスをよく使うことが知られています。Backdoor.Emdiviのケースでも、*****@excite.co.jp　や　*****@yahoo.co.jp　などのフリーメールアドレスが差出人となっている攻撃メールを多数確認しています。

一方、差出人メールアドレスで取引先ドメインを詐称した標的型攻撃メールや詐欺メールもよく見られます。多くの方がご存じのように、メールヘッダの偽装は極めて簡単なため、詐称メールを送る技術的な敷居は低く、そのためツール類も出回っておりますが、弊社では、ここ最近、一部の攻撃者／犯罪者が"フリーメールサービス"を使って、取引先メールアドレスを詐称していることを、標的型攻撃や詐欺の事案で確認しました。ここで言う「詐欺」とは、取引先になりすまして、送金先口座の変更を依頼する旨のメールを送り金銭を横取りする犯罪などです。以降、読者の皆様の組織における防衛強化のための知見として、詐称の具体的な手口を共有させて頂きます。

外出先から会社の送信メールシステムを利用できないが、出張先のホテルや自宅から、会社で利用しているメールアドレスを差出人にしてメール送信したい、というニーズがあるためか、複数のメーラーやWebメールで、送信専用メールアドレス（Send-only address）を追加することが可能になっており、攻撃者や犯罪者はこれを悪用することがあります。

弊社では、ここ最近、一つの傾向として、Yahoo.comのWebメールサービスからの詐称メールを複数確認しています。（なぜ攻撃者／犯罪者がYahoo.comを使うのかは後述します。）弊社が調査を行ったところ、すでに取引先のメールアドレスが攻撃者／犯罪者によって侵害されている前提において、Yahoo.comから詐称メールが送られていることが確認できました。以下に、攻撃者／犯罪者の観点で、具体的な詐称手順を記載します。

手順１　-　Yahoo.comでアカウントを取得する。

手順２　-　Yahoo.comのWebメール設定で、"send-only address"を設定し、Verifyボタンをクリックする。

　　　図１　Yahoo.comにおける"send-only address"の設定

攻撃者／犯罪者が「やり取り型」を想定している場合は、返信先メールアドレス（Reply-To）を攻撃者／犯罪者が所有するメールアドレスに変更することもあります。

手順３　-　詐称したいメールアドレス宛に確認メールが送られるので、メール内のリンクをクリックする。

※　攻撃者／犯罪者は、すでに当該メールアドレスのアカウントを侵害し、自由にメールを閲覧できる前提である。

　　　図２　Yahoo.comからの確認メール

手順４　-　Yahoo.comの新規メール作成画面で、詐称したいメールアドレスを選択する。

　　　図３　送信者メールアドレスの選択

ここまでが攻撃者／犯罪者側の手順です。

被害組織の受信者側のOutlookで見ると、図４のように、差出人のメールアドレスが詐称されており、元の*****@yahoo.comのメールアドレスは表示されません。

　　　図４　Yahoo.comに設定した送信専用メールアドレスからのメールをOutlookで受信

Yahoo.com以外にも、Yahoo.co.jp　や　Hotmail.com　にも同様の機能がありますが、Fromヘッダー以外に、Senderヘッダーで元のメールアドレスが入っているため、受信者のOutlook側では、図５のように「～が次の人の代理で送信しました」といった表示がされるため、詐称しずらくなっています。

　　　図５　Hotmailに設定した送信専用メールアドレスからのメールをOutlookで受信

以前は、Gmail.comでも同様に、送信専用メールアドレスを設定することができたようですが、現在はその設定ができなくなったようです。（*****@gmail.com以外のメールアドレスを差出人としてメールを送る場合は、Gmail以外のSMTPサーバと認証情報の設定が必須になっています。）

以上のように、Yahoo.comのフリーメールサービスでは、送信専用メールアドレスを使用した際、他のフリーメールサービスと違って、Senderヘッダーが付かないことから、攻撃者／犯罪者に悪用される傾向にあるようです。

また、Yahoo.comで送信専用メールアドレスからメール送信した場合、"ヘッダーFrom"だけでなく"エンベロープFrom"にも送信専用メールアドレスのドメインが入ることから、受信システム側でフリーメールからだと判断できないケースがあります。企業の中には、システム側で、"エンベロープFrom"や"ヘッダーFrom"からフリーメールと判断して、件名に"FreeMail !"などのタグを付けて受信者（社員）の注意を引く仕掛けを実装しているケースがあります。しかし、Yahoo.comにおける送信専用メールアドレスの場合、上記の理由からフリーメールと判断されずに受信者へ配信されてしまうことがあります。

対策を考えなければなりませんが、唯一かつ万能な対策はありません。しかしリスクを低減することは可能であり、以下に対策の観点をいくつか挙げさせて頂きます。

まずは、自社ドメインが詐称されないようにするための対策観点です。

対策観点その１：　メールシステムの堅牢化

どのフリーメールサービスも、送信専用メールアドレスを有効化するためには、必ず確認メールが送られ、そのメール内のリンク先へのアクセスが必要です。確認メールの中のリンク先が犯罪者／攻撃者に読み取られないようにするため、脆弱性の是正、二要素認証など、メールシステムの堅牢化を行う必要があります。

対策観点その２：　送信ドメイン認証の対応（送信者側として）

送信者側の対応として、SPFレコードの公開やDKIMを実装し、自社ドメインのなりすましリスクを低減させます。

次に、取引先ドメインに詐称された攻撃／詐欺メールを受信した際に気付くための対策観点を挙げます。自社のシステムがどんなに堅牢でも、数ある取引先の中には、攻撃者／犯罪者によってメールアカウントが侵害されている組織があり、それが起因して、自社に攻撃メールや詐欺メールが送られてくるわけです。

対策観点その３：　フリーメールからのメール受信を検出

たとえばYahoo.comのフリーメールからのメールを検出するためには、ヘッダーFrom／エンベロープFromだけでなく、下記のようなYahoo.comに特有のカスタムヘッダーを監視し、合致した場合にフィルタリングやタグ付けするのも一つの方法です。

Yahoo.comからのメール特有と思われるヘッダー：

X-Yahoo-Newman-Property

X-Yahoo-Newman-Id

X-YMail-OSG

対策観点その４：　送信ドメイン認証の対応（受信者側として）

メール受信システム側に、SPFやDKIMといった送信ドメイン認証を実装します。Yahoo.comの送信専用メールアドレスの場合、ヘッダーFromだけでなく、エンベロープFromまでも詐称されるため、Sender IPとの矛盾が発生し、受信側でSPF認証が失敗（Fail or SoftFail）します。