## この記事でわかること - サイト運営者を狙う「なりすましメール」の代表的な3パターン - なぜ Web サイト運営者ほど被害に遭いやすいのか、その構造的な理由 - 自社ドメインが悪用されない状態にするための、具体的な5ステップ ## 中小企業でも届く「なりすましメール」の実態 「社長から経理担当に振込依頼のメールが来た。至急対応してほしいと書かれていたので手配したが、後から本人に確認すると送っていなかった」。IPAと警察庁が注意喚起を続けているビジネスメール詐欺(BEC)の典型的な手口です。被害は大企業だけでなく中小企業にも広がっており、1件で数百万円から数千万円の損害が発生するケースも報告されています。実際に国内で起きた被害事例は[ビジネスメール詐欺の実例まとめ](/blog/bec-attack-cases)で具体的に紹介しています。 なりすましメールには主に3つのパターンがあります。 ![サイト運営者を狙うなりすましメールの3つのパターン](/blog/email-spoofing-prevention/spoofing-patterns.svg) 1つ目は「送信元(From ヘッダー)の偽装」。攻撃者は自社と無関係のサーバーから、送信者欄だけ `ceo@yourco.jp` のように書き換えてメールを送ります。受信者のメールソフトには社長名が表示されるため、見た目では見分けがつきません。 2つ目は「類似ドメインの取得」。`yourco.co.jp` に対して `yourco-co.jp` や `yourc0.jp`(数字の0)といった紛らわしいドメインを取り、取引先の担当者を装います。 3つ目は「表示名だけの差替え」。メール本文のヘッダーでは `From: "山田社長" ` のように、表示名のみ社長名にして実アドレスはフリーメールを使います。スマートフォンのメールアプリでは表示名しか見えないことも多く、気づきにくい手口です。 最近は「取引先からの契約書」を装った添付ファイル型や、実在する相手のメールスレッドに割り込む**会話ハイジャック型**も増えています。いずれも「社内で話題になっていた件について返信が来た」という状況を利用するため、違和感に気づきにくいのが特徴です。 たとえば顧問税理士・会計事務所を装った「決算書を共有します」「源泉所得税の納付書を送ります」というメールは、繁忙期になるほど受信側の確認が甘くなり、本物と区別しづらい代表例です。士業からの請求書ファイルを開いた瞬間に資格情報が窃取される事例もあり、業種ごとの注意点は[税理士・会計事務所のメールセキュリティ](/blog/tax-accountant-email-security)にまとめています。 ## なぜ中小企業で被害が多発するのか 大企業に比べて中小企業で被害が目立つ理由は、技術と運用の両面にあります。 技術面では、**自社ドメインにSPF・DKIM・DMARCといったメール認証が設定されていない**ケースが多く見られます。認証が設定されていないと、受信側のメールサーバーは「このメールが本当に自社から出たものか」を機械的に判定できません。結果として、1つ目の「From ヘッダー偽装」がほぼ素通りしてしまいます。 運用面では、経営層と現場の距離が近いことが逆に仇になります。「社長から直接の指示メール」に対して、電話や対面で再確認する習慣がないと、偽のメールでもそのまま処理されてしまいます。 さらに、専任のIT担当者がいない企業では、不審なメールが届いてもログを追って送信元を調べる手段が限られます。被害に気づくのが請求書の支払い後ということも少なくありません。3つの技術要素の違いは[SPF・DKIM・DMARCの違いをわかりやすく解説](/blog/spf-dkim-dmarc-difference)で詳しく紹介しています。 なお、2024年2月からGmailは1日5,000通以上を送る一括送信者にDMARC設定を必須化しました。受信側(Google)はなりすましの疑いがあるメールを強めに除外する方針を打ち出しており、**自社ドメインの認証が甘いと、本物のメールまで迷惑メール扱いされるリスク**が同時に高まっています。なりすまし対策は「加害されない」だけでなく「業務メールが相手に届く」ためにも必要な投資になりました。 ## 今日から始める5ステップの対策 なりすまし対策は、**DNS設定で完結する部分**と**社内運用で防ぐ部分**に分かれます。優先順位を間違えずに、上から順に進めるのが確実です。 ![なりすまし対策5ステップの優先順位](/blog/email-spoofing-prevention/five-steps-priority.svg) ### ステップ1: 自社ドメインの認証状況を確認する まず現状把握から始めます。自社ドメインにSPF・DKIM・DMARCが設定されているか、DNSレコードを直接見ることで確認できます。認証が未設定のドメインを攻撃者に悪用されても、受信側は偽物と判定できません。 本記事末尾の無料診断ツールを使えば、ドメイン名を入力するだけで3つの認証状況を確認できます。 ### ステップ2: SPFとDKIMを設定する SPFは「このドメインから送信を許可するメールサーバーの一覧」をDNSに登録する仕組み、DKIMは「送信時にデジタル署名を付け、受信側で改ざん検知する仕組み」です。両方を揃えて初めて、受信側が送信元の真贋を判定できます。 設定の具体的な手順は[SPFレコードの設定方法|書き方と確認の手順](/blog/spf-setup-guide)にまとめています。Google WorkspaceやMicrosoft 365を使っている場合、DKIMは管理画面から発行できます。 ### ステップ3: DMARCをp=noneで開始する SPFとDKIMを設定しただけでは、偽装メールを「どう扱うか」のルールが受信側に伝わりません。そこで使うのがDMARCです。 最初は`p=none`(監視モード)で開始します。このポリシーでは、認証失敗のメールも通常どおり配信されますが、**誰からどれだけ送信失敗が起きているか**をレポートで受け取れます。DMARCの仕組みと初期設定は[DMARC とは?仕組みと中小企業が今すぐやるべき対応を 5 分でわかる入門](/blog/what-is-dmarc)、運用手順は[DMARC設定方法を徹底解説](/blog/dmarc-setup-guide)を参照してください。 ### ステップ4: DMARCレポートで送信実態を把握する `p=none`で数週間運用すると、**自社が把握していない送信元**がレポートに現れることがよくあります。代表的なものはクラウドサービス、メール配信ツール、請求書発行サービスなど。これらが正規の業務利用なら、SPFまたはDKIMに登録して認証を通るようにします。 DMARCレポートはXML形式で集計データ(Aggregate Report)が送られてくるため、そのままでは読みにくく感じるかもしれません。無料の可視化ツールや監視サービスを使えば、送信元別の認証率・失敗件数を日次で確認できます。**月次で5分レビューする運用**を組み込めるかどうかが、第4ステップを乗り越える分かれ目になります。 正規送信元の整備が終わると、レポート上で「認証失敗しているのは攻撃者だけ」という状態に近づきます。 ### ステップ5: p=quarantine → rejectへ段階強化する レポートで誤判定ゼロを確認したら、ポリシーを`p=quarantine`(迷惑メール振り分け)に上げます。数週間様子を見て問題なければ、最終的に`p=reject`(受信拒否)へ。ここまで到達すると、攻撃者が自社ドメインを詐称したメールは相手のメールボックスに届かなくなります。 ## まとめ - なりすましメールは「From 偽装」「類似ドメイン」「表示名差替え」の3パターンに大別され、前者2つは技術対策、最後は運用対策が主軸になります。 - 中小企業で被害が多い背景には、メール認証の未整備と、経営層との距離が近い組織構造の両方があります。 - 対策は「現状確認 → SPF/DKIM 設定 → DMARC p=none → レポート解析 → quarantine/reject 強化」の5ステップを順に進めると確実です。全体で1〜3か月が目安です。 ## まずは無料診断で現状をチェック 自社ドメインのSPF・DKIM・DMARC設定状況は、[無料ドメイン診断](/diagnose)で即時確認できます。ドメイン名を入力するだけで、どこから着手すべきかが見えてきます。 設定状況の読み方や、対策の優先順位がわからないときは、お気軽にご相談ください。20年のインフラ運用経験を持つ専門家が、状況に合わせた進め方をお伝えします。