メールアドレスの「生存確認」。攻撃者が有効なリストを作るOSINT手法

企業における情報セキュリティ対策が進む一方で、攻撃者の手法も高度化・巧妙化しています。その中でも見落とされがちなのが、「メールアドレスが現在も有効かどうか」を確認する、いわゆる“生存確認”です。

攻撃者にとって、有効なメールアドレスのリストは極めて価値の高い資産です。フィッシング攻撃、ビジネスメール詐欺（BEC）、アカウント乗っ取りなど、あらゆる攻撃の起点として利用されるためです。

本記事では、攻撃者がどのようにしてメールアドレスの有効性を確認し、リスト化しているのか、その代表的なOSINT（Open Source Intelligence）手法と、企業が取るべき対策について解説します。

なぜ「メールアドレスの生存確認」が重要なのか

攻撃者は無作為にメールを送るのではなく、効率的に成功率を高めるため、事前に“使えるアドレス”を選別します。

無効なメールアドレスに送信しても、以下のようなリスク・非効率が発生します。

・バウンス（配信エラー）による送信元の評価低下
・スパムフィルタによるブロックリスクの増加
・攻撃の成功率低下

そのため、攻撃前の準備段階として「生きているメールアドレスのリスト化」は非常に重要な工程となっています。

SMTP確認による生存判定

最も古典的かつ現在でも利用される手法が、SMTPプロトコルを用いた確認です。

SMTP（Simple Mail Transfer Protocol）はメール送信のための標準プロトコルですが、一部のメールサーバは、特定のコマンドに対して「そのアドレスが存在するかどうか」を応答してしまう場合があります。

代表的な手法

・RCPT TOコマンドを利用した存在確認
・VRFYコマンドによるユーザー検証
・EXPNコマンドによるメーリングリスト展開

これらのコマンドを使うことで、実際にメールを送信せずとも、アドレスの存在有無を判定できるケースがあります。

企業側のリスク

設定が不適切なメールサーバでは、外部からの問い合わせに対して詳細な応答を返してしまい、攻撃者にとって有益な情報を提供することになります。

対策のポイント

・VRFY / EXPNコマンドの無効化
・RCPT TOへの応答制御
・バウンスレスポンスの最小化

メールサーバの設定を見直すことで、こうした情報漏洩を防ぐことが可能です。

SNS連携によるメールアドレスの特定

近年増加しているのが、SNSや外部サービスとの連携機能を悪用した確認手法です。

多くのサービスでは、「メールアドレスを入力すると該当ユーザーが存在するかどうか」を暗黙的に判別できる仕様となっています。

具体的な例

・ログイン画面での「アカウントが存在しません」表示
・パスワードリセット画面での存在判定
・「このメールアドレスは既に登録されています」という通知

攻撃者はこれらの挙動を利用し、大量のメールアドレスを自動的に照合していきます。

OSINTとの組み合わせ

さらに、以下のような公開情報と組み合わせることで、精度が高まります。

・企業の公式サイト（社員情報、問い合わせ先）
・SNSプロフィール
・採用ページ
・名刺情報の流出データ

これにより、「実在する社員のメールアドレス」が特定されやすくなります。

Webサービスの挙動を利用した存在確認

SNS以外にも、多くのWebサービスが“間接的な生存確認”に利用されます。

代表的な手法

・サインアップ時の重複チェック
・ニュースレター登録の確認メール有無
・APIレスポンスの差異分析

例えば、登録済みのメールアドレスと未登録のメールアドレスでレスポンス内容が異なる場合、それだけで存在確認が可能になります。

自動化の進展

これらの手法は、スクリプトやボットによって自動化され、大量のメールアドレスを短時間で検証することが可能です。

メールトラッキングを利用した“開封確認”

攻撃者は単に送信するだけでなく、「開封されたかどうか」も確認します。

仕組み

・メール内にトラッキングピクセル（1px画像）を埋め込む
・ユーザーがメールを開くと外部サーバにアクセスが発生
・そのログから有効なアドレスと判断

この手法により、「実際に人が利用しているメールアドレス」まで特定される可能性があります。

アカウントの存在を隠すための対策

ここまで紹介したように、メールアドレスの存在は様々な経路で推測されます。企業としては「存在を推測されにくくする」ことが重要です。

1. サービス側のエラーメッセージ統一

・「存在しない」「パスワードが違う」を区別しない
・常に同一メッセージを返す

これにより、攻撃者が存在判定できなくなります。

2. メールアドレスの公開範囲を制限

・Webサイトへの掲載は最小限にする
・問い合わせフォームへの置き換え
・社員個人のメール公開を避ける

3. ディレクトリ構造の推測対策

企業メールアドレスは以下のように規則性がある場合が多いです。

・firstname.lastname@domain
・initial.lastname@domain

これにより総当たりが容易になります。可能であれば以下の対策を検討します。

・ランダム性の導入
・役職ベースアドレスの活用（info@、contact@など）

4. メールクライアントの設定見直し

・外部画像の自動読み込みを無効化
・HTMLメールの制限

これによりトラッキングを防止できます。

組織として取り組むべきポイント

単なる技術対策だけでなく、組織全体での取り組みが重要です。

ポリシー整備

・メールアドレス管理ポリシー
・公開情報の管理基準

教育・啓発

・社員に対するOSINTリスクの理解促進
・SNS利用ルールの明確化

システム対策

・WAFやレート制限による自動化攻撃の抑制
・異常なリクエストの検知

まとめ：見えない情報が攻撃の入口になる

メールアドレスは一見すると単なる連絡手段ですが、攻撃者にとっては「入口」となる重要な情報です。

特に、生存確認を経た“有効なリスト”は、精度の高い攻撃を可能にします。これは従来の「ランダムなばらまき型攻撃」から、「精密ターゲティング型攻撃」へのシフトを意味しています。

企業としては、「漏えいしない」だけでなく、「推測されない」「特定されない」という視点での対策が求められます。

次の一手：ダークウェブ監視の重要性

ここまで解説したように、メールアドレスは様々な手法で収集・検証され、その一部はダークウェブ上で売買・共有されることがあります。

自社のメールアドレスがすでに流通している場合、どれだけ対策を講じてもリスクはゼロになりません。

そこで重要になるのが、ダークウェブ上の情報を継続的に監視する仕組みです。

・自社ドメインのメールアドレスが流出していないか
・どのサービス由来の情報か
・パスワードや付随情報の有無

これらを把握することで、インシデントの“予兆”を早期に検知し、被害を未然に防ぐことが可能になります。

攻撃を防ぐだけでなく、「すでに狙われているかどうか」を知ること。これが、これからのセキュリティ対策における重要な視点です。