【緊急注意喚起】「社長ですが、LINE教えて」は100%詐欺!情シスが教える最新の手口とSupmailerの脅威

情シス担当の皆さん、こんにちは。

最近、全社的に非常に危険な「なりすましメール」が急増しています。 従来の「日本語が不自然なスパム」とは異なり、非常に短い文面で、かつ検知をすり抜ける巧妙な手口が使われているのが特徴です。

今回は、現在猛威を振るっている「社長なりすましLINE誘導詐欺」の手口と、その裏で悪用されているツール「Supmailer」について、情シス視点で技術的な解説と対策を共有します。

事象:社長から突然「忙しい?」とメールが届く

まず、従業員の手元に届くメールは以下のようなものです。

件名:(無題 または 業務連絡 または 貴社名)
差出人:社長の名前 <president.name123@gmail.com>
本文: 忙しいですか? 至急連絡したいことがあります。 メールを見たら返信してください。

ここでのポイントは以下の3点です。

  • 差出人名:自社の社長や役員の実名が表示されている。
  • 送信元アドレス:GmailOutlookhotmail などのフリーメール(ここが重要)。
  • 文面:非常に短く、緊急性を煽るが、具体的な要件は書かれていない。

手口のフロー:LINEへの誘導と金銭要求

従業員が「お疲れ様です。どうされましたか?」と返信してしまうと、攻撃者は次に「LINEグループの作成」を指示してきます。

トビラシステムズ社の公開情報や、最新の被害事例によると、その後の展開は以下の通りです。

  1. 「新しいLINEグループを作って、QRコードをメールで送れ」と指示。
  2. LINEグループには「社長(偽者)」以外に、「M&A担当弁護士」や「取引先代表」などの共犯アカウントが入ってくる。
  3. 「極秘のM&A案件が進んでいる」「至急の決済が必要」などと持ちかけられる。
  4. 最終的に、ネットバンキングでの送金を指示される。

技術的解説:なぜスパムフィルタをすり抜けるのか?

情シスとして気になるのは、「なぜGoogle WorkspaceやMicrosoft 365のスパムフィルタをすり抜けて、受信トレイに届いてしまうのか」という点です。 これには明確な技術的理由があります。

1. 正規のフリーメールを使用している

攻撃者は、https://www.google.com/search?q=Gmail%E3%82%84Outlook.comなどの正規のメールサービスのアカウントを取得して送信しています。 そのため、SPF、DKIMといった送信ドメイン認証は「Pass(合格)」してしまいます。ドメイン自体は信頼できるGoogleやMicrosoftのものだからです。

2. 大量送信ツール「Supmailer」の悪用

最近の調査で、これらのメールの多くが「Supmailer」というメール配信ソフトを悪用していることが判明しています。

Qiita等の技術コミュニティで共有されている情報によると、当該メールのヘッダーには以下のような特徴的なフィールドが含まれていることが多いです。

X-Mailer: Supmailer 46.0.3

「Supmailer」自体はマーケティング等に使われる正規のツールですが、攻撃者はこれを悪用し、大量の宛先に一斉送信を行っています。ヘッダー情報を見ることで、通常のメーラー(OutlookやGmailのWeb画面)からの送信ではないことが一目瞭然です。

参考情報: なりすましメールに悪用されるsupmailerというメールソフトを知った日 – Qiita

情シスが取るべき対策

この攻撃を防ぐために、情シス部門では以下の「技術的対策」と「人的対策」の両面アプローチが必要です。

技術的対策(管理コンソール設定)

  • ヘッダーフィルタリングの実装:


    Google WorkspaceやMicrosoft 365の管理画面で、メールヘッダーにX-Mailer: Supmailerが含まれるメールを検疫、または迷惑メールに分類するルールを作成する。(※正規利用がないか確認の上実施してください)
  • 外部メールの警告表示:


    外部ドメイン(自社ドメイン以外)からのメールには、件名や本文の冒頭に【外部メール】という警告タグを自動挿入する設定を行う。
  • 表示名偽装の検知ルール:


    「送信者名に『社長の名前』が含まれる」かつ「送信元アドレスが『自社ドメインではない』」場合にブロックするルールを作成する。

人的対策(従業員への周知)

システム的なブロックは完全ではありません。最終的には従業員の意識が最後の砦となります。以下の3点を全社周知してください。

【社内周知用テンプレート】

  • 社長や役員が、フリーメール(Gmail等)で業務指示を出すことは絶対にありません。
  • 「LINEで連絡したい」と言われたら、その時点で100%詐欺です。
  • 不審なメールが届いたら、返信せず、まずは情シスへ報告、またはSlack/Teams等の「別ルート」で本人に確認してください。

まとめ

攻撃者は常に新しいツール(今回はSupmailer)や手法を探しています。「ウチの会社は大丈夫」と思わず、実際に社長の名前を使ったメールが届いた時に従業員がどう反応するか、一度立ち止まって考えてみてください。

情シスとしては、フィルタリングルールの強化と合わせて、「怪しいと思ったら即相談できる空気作り」を進めていきましょう。

※本記事の情報は執筆時点のものです。攻撃手法は変化するため、常に最新のセキュリティ情報を参照してください。