sg sg-security-overview threat_vulnerability unauthorized_access security_training
まず結論
メールアカウント乗っ取りとは、攻撃者がID・パスワードなどを不正に入手し、本人のメールアカウントを勝手に使うことです。
SG試験では、単に「迷惑メールが送られる問題」ではなく、正規のアカウントが悪用されたときに、どう見抜き、どう防ぐかを判断させる問題として出ることがあります。
特にBEC(Business Email Compromise:ビジネスメール詐欺)では、メールアカウント乗っ取りが使われると、詐欺メールの信頼度が高くなります。
つまり、判断のポイントは次の一文です。
差出人が本物に見えても、依頼内容まで本物とは限らない。
直感的な説明
メールアカウント乗っ取りは、会社のメールボックスの「合鍵」を攻撃者に持たれてしまうような状態です。
攻撃者は、メールを読むだけでなく、本人になりすましてメールを送ることもできます。
たとえば、取引先の担当者のメールアカウントが乗っ取られると、次のようなメールが本物のアドレスから届く可能性があります。
いつもの振込先ではなく、今回からこちらの口座へ振り込んでください。
この場合、差出人のメールアドレスは本物です。
そのため、単純な「メールアドレスが怪しいかどうか」だけでは見抜けません。
SG試験では、ここがひっかけになります。
メールアドレスが本物でも、送金先変更や重要依頼は別経路で確認するという判断が大切です。
定義・仕組み
メールアカウント乗っ取りは、攻撃者が正規利用者のメールアカウントに不正ログインし、そのアカウントを利用する攻撃です。
IPAは不正ログイン対策として、長く複雑なパスワード、パスワードの使い回し防止、多要素認証の設定を推奨しています。詳しくは IPAの不正ログイン対策特集ページ で確認できます。
主な原因は、次のように整理できます。
| 原因 | 何が起きるか | 注意点 |
|---|---|---|
| パスワードの使い回し | 他サービスの漏えい情報でログインされる | 1つの漏えいが別サービスに広がる |
| フィッシング | 偽サイトでID・パスワードを入力してしまう | 本人が入力しているため気づきにくい |
| 弱いパスワード | 推測や総当たりで破られる | 名前・誕生日・単純な文字列は危険 |
| 多要素認証なし | パスワードだけでログインされる | ID・パスワード流出時に弱い |
メールアカウントが乗っ取られると、攻撃者は次のようなことができます。
- 過去のメールを読んで取引内容を把握する
- 本人になりすましてメールを送る
- 請求書や振込先変更の依頼を送る
- パスワード再設定メールを悪用して他サービスにも侵入する
- 社内外にフィッシングメールを送る
特にBECとの関係では、過去のメールの流れを読まれることが大きな問題です。
攻撃者は、取引相手、支払時期、担当者名、請求書の形式などを把握したうえで、本物らしいメールを作れます。
IPAのBEC事例でも、取引先のメールアカウントが乗っ取られ、正規のメールアドレスから送金先変更を求める偽メールが送られた事例が紹介されています。
どんな場面で使う?
メールアカウント乗っ取りという用語は、正規のメールアカウントが不正に使われる場面で使います。
SG試験では、次のような場面で問われることが多いです。
- 取引先の本物のメールアドレスから振込先変更依頼が届く
- 社内担当者のアカウントから不審なリンクが送られる
- 普段のメール履歴をもとに自然な文面の依頼が届く
- 海外や深夜など、普段と異なる場所・時間からログインがある
- 送信済みメールや転送設定に不審な変更がある
このとき、見るべきポイントは「メールが本物っぽいか」だけではありません。
次のような業務判断が必要です。
- 送金先変更は、登録済み電話番号など別経路で確認する
- 高額送金は、複数人承認を必須にする
- 不審ログインを検知できるようにする
- 多要素認証を有効にする
- メール転送設定やログイン履歴を確認する
選択肢では、次のように書かれていたら注意です。
- 「正規のメールアドレスから届いたので信用する」
- 「過去のメールに返信しているので安全と判断する」
- 「ウイルスが添付されていないので問題ない」
これらは、メールアカウント乗っ取りやBECへの対策としては不十分です。
よくある誤解・混同
メールアカウント乗っ取りは、なりすましメール、フィッシング、BECと混同しやすいです。
| 用語 | 何が起きるか | 切り分けのポイント |
|---|---|---|
| メールアカウント乗っ取り | 正規アカウントに不正ログインされる | 本物のアカウントが使われる |
| なりすましメール | 差出人を偽ってメールを送る | アカウント自体は乗っ取られていない場合もある |
| フィッシング | 偽サイトなどで認証情報を盗む | 乗っ取りの入口になることが多い |
| BEC | 業務メールを悪用して送金や情報提供をだます | 乗っ取りはBECを成功させる手段になり得る |
SG試験では、次のようなひっかけに注意します。
誤解1:メールアドレスが本物なら安全
メールアカウントが乗っ取られている場合、送信元は本物のメールアドレスです。
そのため、差出人だけで安全とは判断できません。
送金先変更や重要情報の提供は、メール以外の手段で確認します。
誤解2:BECとメールアカウント乗っ取りは同じ意味
同じではありません。
BECは、送金や機密情報をだまし取る詐欺全体を指します。
メールアカウント乗っ取りは、そのBECを成功させるための手段の一つです。
誤解3:迷惑メール対策だけで十分
メールアカウント乗っ取りでは、本物のアカウントからメールが送られることがあります。
そのため、迷惑メールフィルタだけに頼るのではなく、多要素認証、ログイン監視、承認手続き、従業員教育を組み合わせます。
誤解4:被害はメールだけに限定される
メールアカウントは、他サービスのパスワード再設定にも使われます。
メールを乗っ取られると、クラウドサービス、業務システム、SNSなどの乗っ取りにつながる可能性があります。
まとめ(試験直前用)
- メールアカウント乗っ取りは、正規アカウントを攻撃者が不正利用すること
- BECでは、本物のアカウントから送ることで詐欺メールの信頼度が上がる
- 差出人が本物でも、送金先変更や重要依頼は別経路で確認する
- 対策は、強いパスワード、使い回し防止、多要素認証、ログイン監視
- SG試験では「正規メールだから安全」「迷惑メール対策だけで十分」を切る
🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- 生体認証とは?指紋・顔・虹彩・静脈認証の違い【SG試験】