ドメイン番人
DMARCなりすましフィッシング対策Web 担当者

自分のドメインがなりすまされているか確認する方法

ドメイン番人6 分で読めます
目次

この記事でわかること

  • 自社ドメインがなりすましに使われていないかを確認する3つの方法
  • 各方法で必要な権限と、得られる情報の違い
  • なりすまされている事実が分かったときに、最初に取るべき対応

「うちのドメインが勝手に使われて、知らない取引先からクレームが来た」という相談が増えています。多くの場合、攻撃者は被害企業のサーバーには侵入していません。差出人欄(Header From)に他社ドメインを書くだけで、誰でも「○○株式会社からのメール」を装える、というのがインターネットメールの素朴な仕様だからです。

問題は、自社が攻撃に使われている事実を、当事者である自分たちが気づきにくいことです。攻撃メールは外部の取引先や顧客に届くため、自社受信箱には何も残りません。本記事では、特別なログ調査ツールを使わずに「自分のドメインが今この瞬間どう使われているか」を確認する3つの方法を、難易度順に整理します。

なぜ自社では気づけないのか

なりすましメールの流れはシンプルです。攻撃者は自分のサーバー(またはクラウド配信サービス)から、From: 経理@your-company.co.jp と書いたメールを送信します。受信側のメールサーバーは差出人欄をそのまま表示するため、受け取った人は本物の取引先からの請求書だと信じてしまいます。

この一連の流れの中に、被害企業のサーバーは登場しません。自社のメールログを何時間調べても、攻撃の痕跡は1件も見つからないのがなりすましの特徴です。だから「不審な送信元のリスト」を外部から取り寄せる仕組みが必要になります。

メール認証の基礎についてはメール認証の基礎で整理していますので、SPF・DKIM・DMARCの役割があいまいな方は先に目を通してください。

確認方法は3つある(権限と情報量で使い分け)

実務でよく使う確認方法は次の3つです。情報量の多い順に並べました。

なりすまし確認の3つの方法と必要な権限

1. DMARC集計レポート(rua)を見る

最も網羅性が高い方法です。DMARC(ディーマーク、Domain-based Message Authentication, Reporting and Conformance)を p=none で設定し、rua パラメータに集計レポートの受信用アドレスを指定すると、Google・Yahoo・Microsoftなどの主要受信プロバイダから1日1通、その日に自社ドメインを差出人として届いたメールの統計XMLが送られてきます。

XMLには「どの送信元IPから・何通・SPF/DKIMの認証結果はどうだったか」が含まれます。自社で使っている送信元(社内SMTP、配信サービス等)のIPと突き合わせれば、身に覚えのない送信元IPがそこにあるなら、それがなりすましの候補です。

2. ドメイン診断ツールを使う

DMARC設定そのものがまだなく、レポートも届いていない場合は、まず公開DNS情報からSPF/DKIM/DMARCの設定状態を確認します。設定不備はなりすましの被害を拡大させる原因です。例えばDMARCが未設定だと、受信側は不正なメールを受け取ってよいか判断できず、結果として正規メールと並んで配信されてしまいます。

このカテゴリは権限が要りません。社外に公開されているDNS情報だけで完結します。本サイトのドメイン診断も同じ仕組みで動いており、数十秒で設定の穴を一覧化できます。

3. Google Postmaster Tools

Gmail宛に送るメール量が多い企業向けの補助手段です。自社ドメインのDNSにTXTレコードで所有確認を入れたあと、Gmail側で集計しているスパム率や認証結果が見えます。一定の送信ボリューム(おおむね月数百通以上)がないと統計が出ないため、社内利用が中心のサイト運営者では補助的な位置づけになります。

実務では「DMARCレポート + 診断ツール」を主軸にし、Postmaster Toolsはメルマガを出している部門があれば追加で見る、という運用が現実的です。さらに「自社ドメインに似た名前で不正な SSL 証明書が発行されていないか」を継続監視したい場合は CT log(Certificate Transparency log)の仕組み を理解した上で CT log 監視ツール 5 選比較 を併用すると、なりすましサイト構築の予兆を最短で掴めます。

DMARCレポートからなりすましを見つける流れ

DMARC設定がまだの場合は、最初に p=none(観察モード)で導入し、1〜2日経ってから集計レポートが届くのを待ちます。設定手順はDMARC設定方法を徹底解説にまとめています。

DMARCレポートで認識していない送信元を見つけるフロー

レポートが届き始めたら、次の順で読み解きます。

  1. 送信元IPを一覧化する: 受信したXMLを集計し、ユニークな送信元IPと通数を表にします。手作業がきついので、無料の可視化ツール(dmarcian、Postmark DMARC Digestsなど)を使うのが現実的です。具体的なXML構造の読み方はDMARCレポートの見方を参照してください。
  2. 「認識ある/なし」で仕分ける: 自社が把握している送信元(社内SMTP、Microsoft 365、Google Workspace、Resendなどの配信サービス)のIPに該当するかを確認します。spf=pass かつ dkim=pass で「認識ある」送信元なら正常です。
  3. 認識のない送信元を絞り込む: 自社のIPでも委託先配信サービスでもないIPが混ざっていれば、なりすまし、または設定漏れによる第三者送信の疑いがあります。

特に注意したいのは、見覚えのある名称(例: mailgun.net)だが社内では契約していないケースです。実際になりすまされている可能性が高いので、社内全部署に「契約しているメール配信サービスはあるか」を確認したうえで除外していきます。

なりすましが発覚したら、最初の48時間で何をするか

「認識のない送信元IPから自社ドメインで大量送信されている」と確認できたら、対応は次の優先順で進めます。

初日(〜24時間):

  • DMARCポリシーを p=quarantine に引き上げる。これで認証に失敗したメールは受信側で迷惑メールフォルダに振り分けられ、被害が一時的に止まります。p=reject まで一気に上げる前に、自社の正規メールが誤って弾かれていないかを翌日のレポートで確認します。
  • 主要な取引先に注意喚起メール(自社の正規SMTPから送る)を出します。「弊社ドメインを名乗る不審メールが出回っています、添付ファイルやURLを開く前にこちらで確認してください」と一報を入れるだけで、被害連鎖を大きく減らせます。

翌日〜1週間:

  • DMARCレポートを毎日確認し、p=quarantine 後も認識のない送信元から送信が続いているかをモニタします。続いていれば、攻撃者は気にせず送り続けているのでポリシーを p=reject に引き上げて完全拒否に切り替えます。
  • 自社の正規送信が誤って弾かれていないかをログで確認し、必要ならSPF/DKIMの設定を整えます。SPFのinclude上限超過など、典型的な落とし穴はSPF設定方法に整理しています。

継続的な対応:

  • 月1回のDMARCレポート確認をルーティン化します。新しい配信サービスを契約したのに認証設定を忘れる、という社内オペレーション漏れも同じ手順で検知できます。

まずは「現状を見える化」してから動く

なりすましの確認は、特別なツールを買わなくても、DNS編集権限と1〜2日の観察期間があれば始められます。重要なのは推測で動かないことです。「うちは大丈夫だろう」「うちなんて狙われない」という前提で何もしないと、最初の通報を取引先から受けることになりかねません。

逆に「うちはなりすまされているはずだ」と決めつけて、いきなり p=reject を入れてしまうと、自社の正規メール(請求書送付など)まで止まります。観察 → 仕分け → 段階的強化の順番を守るのが安全です。

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから