ハッカーがあなたのメールアドレスでできること

いまや、メールアドレスは携帯電話番号と同じくらい重要です（状況によってはそれ以上に重要かもしれません）。デジタルIDの主な形態の一つであるメールアドレスは、デジタルコミュニケーションに不可欠であり、世界中の人たちと私たちをつないでいます。実際、現代の生活では必要性があまりにも高いため、ほとんどの人が2つ以上のアドレスを持っています（たとえば仕事用とプライベート用）。多くの場合、仕事用のメールアドレスは時々変わりますが、プライベートのメールアドレスは一生に2、3回しか変わりません。名前と同じように、メールアドレスにも膨大な情報が付随しています。

在宅勤務の出現やパンデミックの影響により、ますます多くの人がインターネットを利用するようになった結果、私たちのメールアドレスは仕事用のものもプライベート用のものも、世界中で増殖するサイバー犯罪者コミュニティにとって重要な資産となっています。このような理由から、メールアドレスが個人情報にもたらすリスクとメールアドレスを安全に保つ方法について説明するために、このガイドを作成しました。

ハッカーはあなたのメールアドレスで何ができるのか？
メールアドレスから得られる情報とは？
メールアドレスはなりすましに利用できるのか？
ハッカーはどうやって私のメールアドレスを入手するのか？
メールアドレスを安全に管理する方法

ハッカーはあなたのメールアドレスで何ができるのか？

モバイルアプリケーションで食料品を購入する場合でも、Webサイトに初回登録する場合でも、ほとんどのオンラインログインフォームやポータルではメールアドレスが出発点となります（ユーザー名の代わりに使用されることもあります）。ハッカーなどの悪意ある攻撃者は、個人アカウントへの侵入口として個人用または仕事用のメールアドレスを使用することで、さまざまな不正行為を実行に移せるようになります。ハッカーはチャンスを捉えて次のようなことを行います。

あなたを「フィッシングメール」の標的にする：フィッシングメールには、マルウェアの添付ファイルや不正なWebサイトへのリンクが含まれています。こうしたリンクをクリックしたり、添付ファイルをダウンロードしたりすると、マルウェアがシステムに侵入して、個人情報を盗み出すために使用される可能性があります。多くの場合、ハッカーは評判の良い企業や信頼できるWebサイトを装い（時には政府関係者を装って）、高度なソーシャルエンジニアリング技術を駆使して、銀行口座番号、社会保障番号、住所、電話番号、パスワードなどの個人情報を盗みます。

あなたのメールアドレスを「スプーフィング（なりすまし）」する：メールアドレスをなりすますには、あなたのメールアドレスによく似た偽のメールアドレスを作成する必要があります。こうしたアドレスは、数字を文字に置き換えたりダッシュ記号を追加したりしただけなので、本物との違いに気づきにくくなっています。その後、ハッカーはあなたになりすまして、あなたの友人や家族から情報をゆすり取ります。このアプローチは、メールクライアントのスパムフィルターで見落とされがちです。

他のオンラインアカウントをハッキングする：ハッカーがこれを効果的に行うには、あなたのパスワード（メールアカウントとオンラインアカウントの両方のパスワード）が必要になりますが、これは出発点として注目に値します。上記の高度なフィッシング技術を駆使することで、サイバー犯罪者はさまざまなオンラインアカウントを通じてあなたに関するより多くの情報を素早く見つけることができます。メールアカウント自体へのアクセスは、その端緒として一般的です。

オンラインであなたになりすます：ハッカーがあなたのメールアカウントへのフルアクセス権を手に入れると、通常、あなたに関するほとんどの機密情報やそうした情報へのアクセス方法がハッカーの手に渡ります。今日のメールアカウントは、友人や家族、職場、家庭、さらには金融業者などとのありとあらゆるやり取りで埋め尽くされています。こうした情報はすべて、あなたになりすまし、あなたや身近な人からさらに情報を巻き上げるために悪用される可能性があります。

あなたになりすましたり、金融詐欺を働く：このトピックについては後で詳しく説明しますが、上記からわかるように、あなたのメールアドレスはデジタル世界からあなたの物理的な身分証へとつながる入り口です。サイバー犯罪者が用いる手法の多くは、被害者から金銭を脅し取ることを目的としており、違法な買い物や送金、ランサムウェアによりデータを人質に取るといった形があります。これは、個人はもちろん、企業にとっても問題となります。サイバー攻撃は過去10年間で着実に増加しており、データ漏えいによって企業が被る損害は毎年数千ドルにのぼっています。そのため、従業員にとっては、仕事関連の連絡先を慎重に管理することが重要です。

メールアドレスから得られる情報とは？

メールアドレスを使って誰かの情報を収集する確実な方法が、メールの逆引き検索ツールです。このツールにメールアドレスを入力すると、その所有者がわかります。他にも、所在地や職業、ソーシャルメディアのアカウントといった追加データも提供される場合があります。実のところ、一般的な検索エンジンを使えば、同じ情報を同じように簡単に見つけることができます。検索エンジンとそのWebサイトクローラーは、多くのユーザーのオンライン体験の根幹となるため、多くのハッカーにとって出発点となり得る膨大な量の個人データを収集しています。

これまでに説明したなりすましやフィッシング詐欺による個人情報の窃盗とは別に、あなたのメールアドレスには重要なIDデータが含まれている可能性があります。ハッカーはこれを利用して、あなたやあなたの愛する人を標的にすることができます。多くの人のメールアドレスには、名前（または少なくともその一部）と覚えやすい番号（一般には生年月日）が含まれています。この2つの識別要素があれば、多くのサイバー犯罪者はオンライン上でより金になる個人データの収集に着手できます。

a phishing scam email warning.

メールアドレスはなりすましに利用できるのか？

一言で言えば、答えは「イエス」です。メールアドレスがあれば、他人に完全になりすますのに十分な情報が見つかります。ただし、メールアドレスだけでは簡単ではなく、時間もかかります。サイバー犯罪者がなりすましを完全にやり遂げるには、まずあなたの個人情報を集めることから始める必要があります。たとえば、漏えいした情報から認証情報を入手します。次に、前述のさまざまなハッキング技術を駆使します。たとえば、オンライン上であなたの友人や同僚になりすましたり、（稀ではありますが）あなたの家から個人的な書類を物理的に盗んだりします。こうして、この個人情報を使ってさまざまな詐欺犯罪を行えるようになります。

ハッカーはどうやって私のメールアドレスを入手するのか？

ハッカーがメールアドレスだけでできることを考え合わせると、そもそもハッカーがどうやってあなたのアドレスを入手するのかを知るのは重要なことです。

フィッシング詐欺ページ：フィッシングメールを使ってあなたの個人情報を収集するのと同じように、ハッカーは詐欺的なWebサイト購読ページ、チェックアウトページ、ログインページを作成してあなたのメールアドレスを尋ねることがあります。こうしたページは、特別なロギングソフトウェアを使用してメールのログイン情報（入力している場合はその他の個人情報も）を記録します。

大規模なデータ漏えい：サイバー犯罪者が大企業や機関（病院や学校など）を標的に、そのデータベースを直接攻撃して個人情報を抜き取ることで、メールアドレスを盗み出す場合があります。第三者を介したデータ盗難の被害にあった可能性がある場合は、当社が作成した個人情報漏えい対策ガイドの手順に従ってください。それ以外にも、最新のセキュリティソリューションを使えば、インターネットやダークWebを監視し、個人情報が流出していないかをチェックすることができます。

ソーシャルメディア：メールアドレスにはあらゆる種類のソーシャルメディアアカウントが直接リンクされていることが多いため、さまざまなソーシャルメディアサイトを発掘して、あなたの名前、電話番号、メールアドレスを含む多様な個人情報を簡単に掘り出すことができます。実際、こうしたデータを使用して、このようなアカウントへのアクセス用パスワードを推測できる場合さえあります。

メールアドレスを安全に管理する方法

メールアドレス（またはアドレス）が公開されると、個人的なプライバシーや業務上のプライバシーが脅かされる危険性があるため、不正アクセスからメールアドレスを守る方法を知っておくことは重要です。
強力なパスワード：既にお話したとおり、メールアドレスだけで、パスワードなしに個人情報を盗むことは非常に困難です。そのため、パスワードを「強固なもの」（10～12文字程度で、特殊文字、数字、大文字、小文字を混在させる）にすることは、メールアドレスをハッカーから守る最善の方法のひとつとなります。安全性を最も高めるために、パスワードマネージャとーとジェネレーターの使用をおすすめします。

スパムフィルターとブロック：メールプロバイダーのスパムフィルターが常時有効になっていることを確認し、悪意のあるメールやリンクをクリックする可能性を減らしましょう。同様に重要なのは、このような危険なメールがスパムフィルターを通過した場合に（通常はなりすましが原因）用心を怠らず、これらのドメインをブロックしてプロバイダーまたは関連するIT部門のメンバーに報告することです。

二要素認証に登録する（可能な場合）：二要素認証に登録すると、オンラインセキュリティが倍に増強されます（このオプションが利用可能な場合）。「二段階認証」（略して「2FA」）とも呼ばれるこのサービスは、信頼性の高いメールクライアントのほとんどに標準装備されています。二要素認証は、追加の識別情報の入力を要求するセキュリティ対策です。この識別情報は多岐にわたり、追加の質問に対する「秘密の回答」や、メールに送信される安全なリンク、電話に直接送信される認証コードなどがあります。

「使い捨て」メールアカウントを使用する：疑わしい（またはプロバイダーがよく確認されていない）Webサイトやアプリケーションに登録する場合は、使い捨てメールを使うべきです。使い捨てメールとは、虚偽の識別情報あるいはごくわずかな識別情報しか持たないメールアカウントであり、詐欺やハッキングに遭ったとしても悪影響を恐れる必要がありません。最近のメールアカウントはシンプルで、素早くシャットダウンできるため、このアカウントを長期にわたって保持することも短期間だけ運用することもできます。ただし、使い捨てアカウントは詐欺メールからダウンロードされるマルウェアに対して脆弱であるため、注意が必要です。使い捨てアカウントにアクセスしている場合、外部リンクをクリックしたり添付ファイルをダウンロードしたりする際に十分注意してください。

ベストプラクティスを学び続ける：現代のデジタル社会では、データ保護はIT部門だけではなく、一人ひとりの責任でもあります。だからこそ、自社のサイバーセキュリティトレーニングを受講して常に最新の知識を取り入れ、侵害が発生したときには適切なリソースに目を通すことが大切です。自宅でも、個人のコンピューターを使うときは常にベストプラクティスを念頭に置くべきです。ネットで調べるか、IT部門や上司に適切な手順や文書について尋ね、不審なメールを受け取ったら直ちに報告・ブロックするようにします。