年末年始のフィッシング詐欺：マーケターが知っておくべきこと・取るべき対策

毎年、サイバー犯罪者はブラックフライデー、サイバーマンデー、クリスマス前のラッシュなどの日付をカレンダーに赤丸で囲んでいる。

Darktraceの分析によると、2024年のブラックフライデーをテーマにしたフィッシングメールは、11月のホリデーまでの数週間で約700％も急増し、クリスマスなどのショッピングのピーク時には、米国の主要小売ブランドに対するフィッシング攻撃は2,000％以上も増加しました。

マーケティング担当者やeコマースチームにとって、ホリデーシーズンのフィッシング詐欺の増加は2つの結果をもたらします：あなたの顧客が説得力のある偽メールに狙われる可能性がこれまで以上に高くなること、そしてあなたの正当なキャンペーンが受信トレイで多くの危険なノイズと競合することです。カード情報を盗み出す「セール」メールによって顧客がひどい目に遭えば、たとえあなたが万全を期していたとしても、次はあなたのメールを信用しなくなるかもしれません。

この記事では、祝日のような大きな小売イベントの前後にフィッシングが急増する理由、注意すべきレッドフラッグ、顧客と同僚の安全を守るためにマーケティング・コミュニケーションチームが取るべき実践的な対策について説明します。また、SPF、DKIM、DMARCのようなメール認証プロトコルが、ブランドのドメインを攻撃者の手に渡さないためにどのように役立つのかについても見ていきます。

祝日にフィッシングが急増する理由

犯罪者の視点から見ると、季節のイベントはソーシャルエンジニアリングに最適な条件を作り出します。人々は、割引メールや発送通知、「1日限り」のオファーが殺到することを期待しています。誰もが素早く動き、件名に目を通し、考える前にクリックしてしまう。これこそがフィッシャーの狙いなのだ。

クリスマス、バレンタインデー、納税シーズン、新学期、旅行シーズンなど、一年を通して急増します。あなたの顧客がいつもより多くのメールを期待しているときはいつでも、攻撃者は群衆に紛れ込むために努力を強めます。

ホリデー・フィッシングの手口

ホリデーをテーマにしたフィッシングは、技術面では必ずしも洗練されていませんが、心理面では非常に巧妙です。攻撃者は、人々がすでに受信トレイで目にすることを予期しているものと一致するようにメッセージを調整する：

• 「フラッシュセールは2時間で終了します」という件名で、緊急性とFOMO（恐怖心）を煽る。
• 被害者が購入した覚えのない偽の注文確認（「請求書を見る」や「荷物を追跡する」）。
• あなたの小包は配達されませんでした。住所を確認してください。"
• ギフトカード、クーポン券、または「ホリデープレゼント」メールによる、ログインや支払い情報の入力を求めるメール。
• スキムチェックを通過するようなそっくりドメイン（例えば、一文字を似たような文字に置き換えたもの）。

何十ものオファーに目を通す忙しい顧客にとって、これらのメッセージは普通に感じられる。ロゴは正しく見え、トーンは本物のブランドのように聞こえ、タイミングは彼らの買い物行動と一致する。だからこそ、教育やプロセスは技術的な管理と同じくらい重要なのだ。

マーケターとEコマースチームがリスクを軽減する方法

マーケティング担当者にとって、フィッシングメールやドメインの不正使用は、送信者のレピュテーションやメール到達率などの重要な指標に悪影響を及ぼします。

ブラックフライデーのようなリスクの高いシーズンには、その信頼を損なわないためにチームが取るべき具体的な行動があります。

1.正規のメールであることを認識しやすくする

攻撃者は混乱を利用します。本物のキャンペーンが受信トレイにある他のものと同じように見えれば見えるほど、偽物がすり抜けやすくなります。意図的に一貫性を持たせることで、ユーザーを助けることができます：

• 送信ドメインとサブドメインは小さく、予測可能なものを使いましょう（例えば、「newsletter.yourbrand.com」と「orders.yourbrand.com」）。
• 差出人名は、「YourBrand Orders」や「YourBrand Support」など、個人名ではなく識別しやすい名前にする。
• 件名には、詐欺の手口を反映するような、過度に攻撃的な緊急性（「今すぐ行動しないとすべてを失う！」）は避けましょう。
• いつも使っているような、明確でブランドのあるデザイン要素とフッター情報を含めること。デザイン上、疑惑を招く可能性のあるものは以下の通りです：
  
  • ロゴやヘッダーの位置がずれている
  • 画像のaltテキストがない
  • レイアウトの崩れや予期せぬ積み重ね
  • 色やフォントが統一されていない

繁忙期を前に、正規のEメールがどのようなものなのか、また、Eメールで決して要求しないこと（パスワード、カード情報など）を顧客に伝えておくのも一つの手です。そうすることで、その枠から外れたものに対して不信感を抱きやすくなります。

2.流れの中で顧客を教育する

ブログで「セキュリティのヒント」ページを1つだけ公開し、人々がそれを目にすることを期待するのではなく、既存のカスタマージャーニーに小さな注意喚起を織り込みましょう：

• 注文確認メールに短い一行を加える：「注文確認メールに短い一行を追加する。
• ホリデーキャンペーンでバナーを使い、クリックする前に送信者アドレスやURLを確認するよう促す。
• Eコマースでフィッシングメールを検知する方法」のような簡単なガイドにリンクする。

このようなマイクロナッジは、顧客の動きを鈍らせることなく、顧客がより良い習慣を身につけるのを助け、セキュリティを真剣に考えていることを強調します。

3.繁忙期には社内プロセスを強化する

ホリデー・フィッシングは顧客だけでなく、御社のスタッフや代理店も狙います。侵害されたマーケティングアカウントやeコマースアカウントは、御社のブランドから直接届いたように見せかけた何千通もの悪質なメールを送信する可能性があります。

• すべてのマーケティングプラットフォームとEメールツールに多要素認証（MFA）を義務付ける。
• ピーク時に開始される「通常とは異なる」キャンペーン、ドメイン、ランディングページに対して、明確な承認ワークフローを設定する。
• フィッシング、特に「プラットフォームの一時停止」や「請求に関する問題」の偽メールを見破るために、チーム内で迅速な再教育を実施する。

代理店や外部のフリーランサーと仕事をしている場合は、彼らが同じセキュリティ基準に従っていることを確認する。

4.SPF、DKIM、DMARCでドメインを保護する

たとえ優れた教育やプロセスがあったとしても、サイバー犯罪者が御社のドメインを使ってメールを送信するのを阻止する技術的な障壁が必要です。SPF、DKIM、DMARCの出番です。

• SPFは、メールボックス・プロバイダに、どのサーバがあなたのドメインのメール送信を許可されているかを知らせます。
• DKIMはデジタル署名を追加し、受信者がメッセージが改ざんされていないことを確認できるようにします。
• DMARCはすべてを結びつけ、「もしメッセージがこれらのチェックに落ちたら、隔離するか拒否してください」と言えるようにします。

これらの制御を組み合わせることで、攻撃者が「あなたのブランドから」説得力のあるフィッシングメールを送信することがより難しくなります。DMARCとDKIMとSPFの違いについては、DMARC vs. DKIM vs. SPF: What's the Difference?

また、DMARCを有効にするためのステップバイステップの概要については、DMARC有効化ガイドをご覧ください。

DMARCeyeが繁忙期にブランドを保護する方法

DMARCの導入後、実際の作業が開始されます：あなたの代わりに送信している人を監視し、新しいなりすましの試みを発見し、特に小売店の繁忙期には「監視」から「拒否」へとポリシーを安全に強化します。

DMARCeyeは、複雑なXMLレポートを明確で視覚的、かつ人間が読み取れるインサイトに変換することで、これを管理しやすくします。以下のことが可能です：

• お客様のドメインを使用して実際にメールを送信しているシステムやサービスを確認できます。
• 不正な送信者や、イベントや休暇中の不審なトラフィックの突然の急増を検出します。
• すべてのドメインのSPF、DKIM、DMARCの結果を一箇所で追跡します。
• 何が破られるかを推測することなく、DMARCの完全な実施に向けて自信を持って動きましょう。

DMARCeyeを使用することで、ドメインがどのように使用（または悪用）されているかを実際に可視化することができます。

今すぐDMARCeyeの無料トライアルをご利用いただき、次の大規模なショッピングの前にメールドメインの保護を開始しましょう。

メールドメインを保護するためにできることの詳細については、 包括的なメールセキュリティガイドをご覧ください 。