「【エックスサーバー】契約更新のお知らせ」「【ConoHa WING】お支払い方法の更新が必要です」「【さくらインターネット】不正アクセスを検知しました」。これらの件名で大手レンタルサーバーを装うフィッシングメールが、近年急増しています。本記事では、エックスサーバー・さくらインターネット・ConoHa WING・ロリポップなど主要レンタルサーバー会社を装う詐欺メールの実例、本物との見分け方、被害に遭わないための対策を解説します。
大手レンタルサーバーを装う詐欺メールはドメイン会社版より深刻
レンタルサーバーは契約期間中、毎日のサイト表示・メール送受信を支える基盤です。サーバー会社のログイン情報を奪われると、サイトの改ざん・顧客情報の流出・サーバー上のメールの全文閲覧など、被害規模が極めて大きくなります。ドメイン会社のフィッシング被害以上に深刻なケースが多いと考えてください。
大手レンタルサーバーが標的になる3つの理由
レンタルサーバーが詐欺メールの標的になる理由は、契約者数の多さ・乗っ取り後の利用価値の高さ・契約者のITリテラシーの幅広さの3点です。エックスサーバー・さくらインターネット・ConoHa WINGなど大手は契約者が数十万〜数百万単位で存在し、無差別送信でも一定確率で本物のユーザーに届きます。乗っ取りに成功すれば、サイト改ざん・スパム送信・暗号通貨マイニングなど、攻撃者にとっての利用価値が高いです。
大手サーバー会社の公式ブログ・注意喚起ページが存在する
エックスサーバー・さくらインターネット・GMOグループ(ConoHa・ロリポップ・お名前.com)など、主要サーバー会社はそれぞれ公式サイトに「なりすましメールに関する注意喚起」ページを設けており、現在進行形で発生している詐欺事例を公開しています。定期的に各社の注意喚起ページを確認することで、最新の手口を把握できます(出典 フィッシング対策協議会 月次報告書)。
「セキュリティを心配させる」文面が増えている
かつては「料金未払い」「アカウント停止」が主流でしたが、近年は「不正アクセスを検知しました」「お客様のアカウントに異常な動作を確認しました」「セキュリティ強化のため再認証が必要です」など、セキュリティへの不安を煽る文面が増えています。セキュリティを気にする善良なユーザーほどクリックしてしまう設計になっており、極めて巧妙です。
主要サーバー会社別 詐欺メールの典型パターン
主要サーバー会社ごとに、現在流通している詐欺メールの典型パターンを整理します。本物と紛らわしい件名・差出人パターンに注意してください。
エックスサーバーを装う詐欺メールのパターン
エックスサーバーを装う詐欺メールには、以下のような件名が使われます。
- 【Xserver】お支払い方法の更新をお願いいたします
- 【Xserver】契約自動更新の処理が失敗しました
- 【エックスサーバー】不正アクセスを検知
- 【重要】Xserverアカウントの一時停止について
- 【Xserver】SSL証明書の更新確認
本物の差出人は @xserver.ne.jp ですが、詐欺メールでは @xserver-jp.com、@xserver-support.net、@xserver.com など類似ドメインが使われます。
さくらインターネットを装う詐欺メールのパターン
さくらインターネットを装う詐欺メールには、以下のような件名が見られます。
- 【さくらインターネット】お支払い情報更新のお願い
- 【さくら】契約自動更新エラーのお知らせ
- 【SAKURA】Important Account Notification
- 【重要】さくらのレンタルサーバ ID停止予告
本物の差出人は @sakura.ad.jp ですが、詐欺メールでは @sakura-net.com、@sakura-internet.net、@sakura-support.com などが使われます。
ConoHa WINGを装う詐欺メールのパターン
ConoHa WINGを装う詐欺メールは、GMOグループの他サービス(お名前.com・ロリポップ等)と組み合わせたパターンも見られます。
- 【ConoHa】お支払い方法の登録が無効になりました
- 【重要】ConoHaアカウントセキュリティ確認のお願い
- 【ConoHa WING】SSL証明書期限切れのお知らせ
本物の差出人は @conoha.jp ですが、詐欺メールでは @conoha-support.com、@conoha-secure.net などが使われます。
ロリポップ・ヘテムルを装う詐欺メールのパターン
GMOペパボ系列のロリポップ・ヘテムルも詐欺メールの標的になっています。
- 【ロリポップ】契約更新のお願い
- 【lolipop】Important Notice about your Account
- 【ヘテムル】お支払い情報の確認
本物の差出人は @lolipop.jp(ロリポップ)、@heteml.jp(ヘテムル)です。これら以外のドメインから届いた場合は詐欺と判断してください。
本物と詐欺を確実に見分ける4つのチェックポイント
サーバー会社の詐欺メールを見分けるには、差出人・本文・誘導先・要求情報の4点を順にチェックします。
差出人ドメインが契約中サーバーの公式ドメインと一致しているか
最初に確認するのは差出人のメールアドレスです。@以降のドメインが、自社が契約しているサーバー会社の公式ドメインと完全一致しているかを文字単位で確認します。1文字でも違えば詐欺です。表示名(社名表示)は偽装可能なので信用しないでください。
| サーバー会社 | 本物の差出人ドメイン |
|---|---|
| エックスサーバー | @xserver.ne.jp |
| さくらインターネット | @sakura.ad.jp |
| ConoHa WING | @conoha.jp |
| ロリポップ | @lolipop.jp |
| ヘテムル | @heteml.jp |
| カラフルボックス | @colorfulbox.jp |
| mixhost | @mixhost.jp |
本文中のリンク先URLが公式コンパネのドメインか
本文中のリンクにマウスを乗せると、ブラウザの左下に実際の遷移先URLが表示されます。公式コンパネのドメイン(secure.xserver.ne.jp、secure.sakura.ad.jp、www.conoha.jp など)と一致しているかを確認してください。短縮URL、見慣れぬドメインに飛ばす場合は詐欺です。
焦らせる文面・短すぎる猶予期間でないか
本物のサーバー会社は契約満了の数週間〜1ヶ月前から段階的に通知を始めます。「24時間以内にご対応ください」「本日中の手続きが必要」など、極端に短い猶予を設けてくる文面は詐欺の典型です。
メール内のフォームに直接ログイン情報やカード情報を入力させようとしていないか
本物のサーバー会社は、コンパネにログインしてから操作する流れを案内するのが基本です。メール内のフォームに直接ログインID・パスワード・カード番号を入力させる、外部の見慣れぬページにいきなり遷移させる、といった構造は詐欺と判断してください。
4つのチェックポイントのうち、1つでも詐欺の兆候があれば、迷わず詐欺と判断してリンクを踏まないでください。「グレーゾーンだから一応開いてみよう」が最も危険な対応です。
怪しいメールが届いたときの基本対応
怪しいメールを受け取ったときの基本対応は、ドメイン会社のフィッシング対策と同様です。
メール内リンクは絶対にクリックしない
リンクを踏むと、その時点で「このメールアドレスは現役だ」というシグナルが攻撃者に伝わります。さらに偽サイトの読み込みだけでマルウェア感染するケースもあるため、リンクには触れないでください。
ブラウザで検索して本物のサーバー会社サイトに直接アクセスする
本物の状況確認は、検索エンジンで「エックスサーバー ログイン」「さくらインターネット ログイン」などと検索し、公式サイトから直接コンパネに入って行ってください。コンパネの「お知らせ」「契約状況」「請求情報」を確認すれば、本物の問題があるかどうかが分かります。
本物のサーバー会社のサポートに問い合わせて確認する
判断に迷う場合は、サーバー会社の公式サイトに掲載されているサポート窓口に直接連絡してください。メール記載のサポート番号は絶対に使わないでください。「このようなメールが届いたが本物か」と問い合わせれば明確に回答してもらえます。
フィッシング報告窓口に通報する
明らかに詐欺と判断したメールは、フィッシング対策協議会の通報窓口、または本物のサーバー会社の「なりすましメール報告」窓口に通報してください。業界全体での対策強化に貢献できます。
普段からやっておくべき防御策
個別のメール対応だけでなく、平時の準備によって被害可能性を大きく下げられます。
サーバー会社の管理画面に二段階認証を必ず設定する
エックスサーバー・さくらインターネット・ConoHa WINGなど主要サーバー会社は、すべて二段階認証に対応しています。SMS認証または認証アプリ(Google Authenticator・Authy など)を有効化しておけば、パスワードが漏れても不正ログインを防げます。設定は数分で完了するため、現在未設定であれば今すぐ有効化してください。
サーバー会社のログインページをブックマークしておく
普段からブラウザのブックマークに、自社が契約しているサーバー会社のログインページを登録しておき、メール経由ではなく必ずブックマークから直接アクセスする運用に統一してください。偽サイトに誘導されるリスクを根本から断てます。
ログイン情報をパスワード管理ツールで管理する
パスワード管理ツール(1Password・Bitwarden・Keeper など)を導入すると、サーバーごとに固有の強固なパスワードを設定でき、フィッシング被害が起きても他のアカウントへの連鎖被害を防げます。さらに、ブラウザの自動入力機能で「登録ドメインと一致しないサイトには入力しない」仕様になっているため、フィッシングサイトの判定にも役立ちます。
社内全員に詐欺メールの存在を共有する
Web担当だけでなく、経理・総務・営業など社内全員が「サーバー会社からの英語または日本語の緊急メールが届いたら、必ずWeb担当に相談する」というルールを徹底してください。代表者宛てや社員個人宛てに届くケースもあり、Web担当に届くとは限りません。
サーバー会社の公式注意喚起ページを定期的にチェックする
エックスサーバー・さくらインターネット・GMOグループなど主要サーバー会社は、それぞれ公式サイトに「なりすましメール注意喚起」のページを設けています。最新の手口や流通中の詐欺メール文面が公開されているため、半年に1回程度はチェックする習慣をつけてください。新しい手口は出現と消滅を繰り返すため、常に最新情報をキャッチしておくと判別精度が上がります。
サーバー契約者の登録メールアドレスを共有アドレスに統一する
サーバー会社の登録メールアドレスを担当者個人ではなく共有アドレス(info@、admin@など)に統一しておくと、複数人の目で詐欺メールを判別できます。担当者1人の判断ミスで被害が出るリスクを下げる、組織的な防御策です。
もしログイン情報を入力してしまった場合の緊急対応
うっかり詐欺サイトでログイン情報を入力してしまった場合の対応手順です。被害最小化のため、迅速に対応してください。
即座に本物のサーバー会社サイトでパスワード変更
本物のサーバー会社サイトに公式ブックマークから直接アクセスし、パスワードを変更してください。詐欺サイトで入力したパスワードを使い回している他のサービス(Gmail、SNS、業務SaaS等)もすべて変更が必要です。
サーバーの設定が改ざんされていないか全項目確認
コンパネにログインして、登録メールアドレス・支払い設定・SSL設定・DNS設定・FTPアカウント・データベース接続情報など、サーバーに関する全ての設定を確認します。1つでも書き換えられている場合は、すぐにサーバー会社のサポートに連絡してください。
サイト全体の改ざんチェック
サーバーに不正ログインされていた場合、サイト本体のファイルや管理ツール(WordPress等)が改ざんされている可能性があります。サイトの表示確認、WordPress管理画面の確認、サーバー上のファイル更新日時の確認を行い、不審な変更があればプロのセキュリティ業者に調査を依頼してください。改ざんに気づかず放置するとサイト訪問者にマルウェアを撒き散らす加害者側にもなりかねないため、調査と対応を急いでください。
関係者・顧客への報告と監査ログ確認
サーバー上に顧客情報や問い合わせメールが保存されている場合、それらが流出した可能性があります。流出範囲を特定するため、サーバーのアクセスログ・操作ログを保全し、関係者・顧客への状況報告を行ってください。個人情報漏洩の可能性がある場合は、個人情報保護委員会への報告義務が発生するケースもあるため、専門家に相談しながら対応する必要があります。
サーバー会社のサポートに事故報告を入れる
サーバー会社のサポートに連絡し、不正アクセスの事故が発生したことを正式に報告してください。サーバー会社側のアクセスログ調査、不審な接続元IPアドレスの特定、再発防止のためのアカウントロック対応など、ユーザー側だけでは把握できない情報を提供してもらえます。
最後に
大手レンタルサーバーを装うフィッシングメールは、件名・差出人・誘導先URLの3点で判別できます。判断に迷ったら、メール内のリンクは絶対にクリックせず、検索エンジンから本物のサイトに直接アクセスして確認するのが鉄則です。さらに二段階認証の設定とパスワード管理ツールの導入で、万一情報が漏れても被害を最小化できる体制を作ってください。
Web管理では、月額1万円からサーバー管理代行を行っています。日々届く通知メール・詐欺メールの判別、二段階認証の設定、サーバー設定の定期点検まで全て弊社で代行可能です。社内にIT人材がいない中小企業ほど、外部の運用代行を活用することで防御力を底上げできます。サーバーまわりの不安がある経営者の方は、ぜひ一度ご相談ください。
