## この記事でわかること - 怪しいメールを「直感」ではなく機械的にチェックする 5 つの観点 - なりすましメールの典型的な 4 つのパターン - 社内で標準化しておくべき見分けルール - 怪しいメールを開いてしまった時の応急処置 ## 「直感」だけで見分けようとしないこと 総務・情シス担当者が直感で「これは怪しい」と判断していると、必ずどこかで取りこぼします。最近のフィッシングメールは日本語の精度も高く、ロゴや署名も完璧にコピーされています。「機械的にチェックできる観点」を 5 つ覚えておくのが安全です。 ![怪しいメールを機械的に見分ける 5 つの観点](/blog/suspicious-mail-detection/five-checks.svg) ## 観点 1: 送信元アドレスの「@」の右側を見る 差出人欄に表示される名前は自由に詐称できます。本物の手がかりは **メールアドレスの「@」の右側のドメイン**です。 例えば次のようなアドレスは要注意です。 - `service@amaz0n-support.co.jp`(amazon の o が 0) - `info@sumitomomitsui-bank.com`(本物は `smbc.co.jp`) - `support@microsoft-account.security-info.com`(怪しい多重サブドメイン) 正規ドメインを覚えておく社内リストを作っておくと、判定が速くなります。 ## 観点 2: メール認証の結果を確認する Gmail なら、メール右上の「︙」→ 「メッセージのソースを表示」で、`Authentication-Results:` ヘッダを確認できます。 ``` Authentication-Results: mx.google.com; dkim=pass header.i=@amazon.co.jp; spf=pass smtp.mailfrom=amazon.co.jp; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=amazon.co.jp ``` `dkim=pass` `spf=pass` `dmarc=pass` がすべて揃っていれば、技術的には正規メールの確率が高いです。逆に `dkim=fail` `dmarc=fail` などが出ていれば、なりすましの可能性が高まります。 DMARC の判定の読み方は [DMARC レポートの disposition と alignment を読み解く](/blog/dmarc-aggregate-disposition-reading) を参照。 ## 観点 3: リンク先 URL を実際に確認する メール本文に表示されている URL と、実際にクリック先になる URL は別物です。リンク文字列の上にマウスをホバーすると、ブラウザの左下や右下に**実際の遷移先 URL** が表示されます。 例えば「https://www.amazon.co.jp/...」と書かれていても、実遷移先が `https://amaz0n-account-verify.tk/` であれば、フィッシングです。 スマホでは長押しで URL のプレビューが出るので、開く前に確認する癖をつけましょう。 ## 観点 4: 緊急性 / 不安をあおる文言 フィッシングメールに極めて高頻度で出てくるフレーズ群です。 - 「24 時間以内にご対応いただけない場合、アカウントが停止されます」 - 「セキュリティ上の問題が検出されました」 - 「○月○日までに支払いが確認できない場合」 - 「以下のリンクから至急パスワードを変更してください」 正規の事業者は **メール内のリンクから直接パスワードを変えさせる導線**を取りません。本物っぽくても、不安をあおる文言で「メール内リンクから ID / パスワード入力」させる構造のメールは、限りなくフィッシングです。ドメインの失効や更新を装って急かす詐欺メールの具体的な見分け方は[ドメイン更新詐欺メールの見分け方](/blog/domain-renewal-scam-email)で解説しています。 ## 観点 5: 添付ファイルの拡張子と圧縮形式 正規のメールでも添付は付きますが、次のパターンは特に警戒します。 - **`.zip` や `.rar` で圧縮されたファイル**: 中身がスクリプトファイル(.exe / .vbs / .js)であることが多い - **マクロ付き Office ファイル**(.docm / .xlsm): マクロを有効化させて感染させる手口 - **二重拡張子**: `invoice.pdf.exe` のように見せかける手口 迷ったら **開かずに添付の元ファイルを削除** が安全です。 「自社のドメインから迷惑メールが届いた」と取引先に指摘された場合の対応は [「自社の名前で迷惑メールが届いた」と言われた時の対応手順](/blog/own-domain-spam-sent)、メールが届かない側のトラブル切り分けは [会社のメールが届かない原因を一覧で整理](/blog/company-mail-not-delivered-causes) を併読してください。 ## なりすましメールの典型 4 パターン ![なりすましメールの典型 4 パターン](/blog/suspicious-mail-detection/four-patterns.svg) ### パターン 1: 取引先になりすました請求書 / 振込先変更通知 「振込先口座が変更になりました。新しい口座は…」という文面のメール。BEC(ビジネスメール詐欺)の典型です。実害が大きいので、振込先変更の連絡は **メール以外の経路**(電話)で必ず確認するルールを社内で徹底します。詳しくは [BEC(ビジネスメール詐欺)の手口と事例](/blog/bec-attack-cases) を参照。 ### パターン 2: 経営者を装ったメール(CEO 詐欺) 「至急、別件で送金が必要だ。○○口座に△△万円振り込んでくれ」という指示メール。経営者の名前を語ってアドレスはフリーメールというパターン。経営者からの送金指示は **対面確認 or 電話確認** を就業規則に組み込むのが定石です。 ### パターン 3: 配送業者・通販業者からの不在通知 「ヤマト運輸:お荷物のお届けに伺いましたが…」「Amazon:注文した商品の配送に問題があります」というメールから偽サイトに誘導するパターン。クリック先で ID / パスワード / クレジットカード情報を入力させます。 ### パターン 4: 自社ドメインからの内部通知 「IT 部門です。パスワードの再設定が必要です」「人事です。給与明細のリンクをご確認ください」と、自社の情シス・人事を装うパターン。**自社ドメインを偽装している場合**、SPF / DKIM / DMARC が正しく設定されていればブラウザ側で警告されますが、未設定だと普通に届いてしまいます。だからこそ自社のメール認証強化が、社員への二次被害を防ぐ最大の対策です。 ## 社内で標準化したいチェックルール 総務担当者が一人で全メールを判定するのは現実的ではありません。社員全員が機械的に判断できるルールを共有しておくのが効果的です。 1. **送信元の「@」の右側ドメインを必ず確認**(5 秒) 2. **「至急」「24 時間以内」「アカウント停止」が含まれたら一段警戒** 3. **リンクは長押し / ホバーで遷移先 URL を確認**してからクリック 4. **添付ファイルは開く前に拡張子を確認**。zip / マクロ付きは情シスへ転送 5. **振込先変更・経営者からの送金指示は必ず別経路で確認** これらを 1 枚のチェックリストにして、社内ポータルや給湯室の壁に貼っておくと事故が減ります。 ## 怪しいメールを開いてしまった時の応急処置 1. **リンクを踏んでしまった場合**: ID / パスワードを入力していなければ、ブラウザを閉じるだけで多くは大丈夫。心配なら端末のウイルススキャンを実行 2. **ID / パスワードを入力してしまった場合**: 即座にそのサービスのパスワードを変更。同じパスワードを使っている他サービスも変更 3. **添付ファイルを開いてしまった場合**: 端末を社内ネットワークから切り離し、情シスに連絡。ウイルススキャンを実行 4. **送金してしまった場合**: 即座に送金元銀行と取引先銀行へ連絡。警察にも被害届を提出 ## まとめ - 直感ではなく **5 つの機械的チェック**で判定する - 送信元のドメイン、認証結果、URL の実遷移先、文言、添付の 5 点 - 振込先変更・経営者送金指示は必ず別経路確認 - 自社のメール認証(SPF / DKIM / DMARC)強化が、社員への二次被害も防ぐ ## まずは現状を把握しましょう 自社ドメインのメール認証が正しく設定されているかは、[無料のドメイン診断](/diagnose) で 30 秒で確認できます。なりすまし対策の現状把握にぜひお使いください。 「自社のドメインを名乗るなりすましメールが取引先に届いた」という状況であれば、対応は急務です。[お問い合わせフォーム](/contact) で「メール不達など緊急対応のご相談」を選択し、状況をお知らせください。スポット対応(3 万円〜)で 24〜48 時間以内に切り分けと初動対応をご提案します。