税理士事務所のメールなりすまし対策

この記事でわかること

• 税理士事務所がなりすましメールの標的になりやすい理由
• 顧問先に「先生から」を装った偽メールが届くリスクと信用毀損の構造
• 守秘義務の延長としてドメイン認証を捉える視点と、実務で押さえるべき最低ライン

なぜ税理士事務所が狙われるのか

税理士事務所は、顧問先の決算書・元帳・口座情報・給与データといった財務の中枢情報を日常的に扱います。攻撃者から見ると、1件の事務所を入口にすれば複数の顧問先企業の経理動線にアクセスできる、極めて効率の良い標的です。

実際、IPA（情報処理推進機構）が公表しているビジネスメール詐欺の事例にも、会計・税務関連を装った請求書なりすましや、経理担当者への偽指示が含まれます（BEC攻撃の事例と中小企業の対策）。事務所の規模が小さくても、顧問先の合計売上が数十億円規模になることは珍しくなく、攻撃者にとって「コスパの良い踏み台」になり得ます。

加えて、税理士事務所では繁忙期（確定申告・年末調整・決算期）にメール量が一気に増え、所員一人あたりの確認時間が短くなります。この時期を狙って差し込まれる偽メールは、平時よりも開封・返信されやすい傾向があります。

顧問先への二次被害という最大の問題

なりすましメールの本当の怖さは、自分の事務所が直接被害に遭わなくても、顧問先が被害に遭うことにあります。

典型シナリオは次の通りです。攻撃者は事務所のドメイン（例: example-tax.jp）になりすまし、顧問先の経理担当に「先生から」を装ったメールを送ります。文面は「来期の納税予定額のご案内」「振込口座変更のお知らせ」など、税理士からの連絡として違和感のないものです。顧問先は普段から事務所を信頼しているため、添付ファイルを開いたり、記載された口座に送金したりしてしまいます。

この時点で発生する損害は3層あります。

1. 顧問先の金銭的損害: 偽口座への送金、マルウェア感染による情報漏洩
2. 事務所の信用毀損: 「先生のところのメールから感染した」という認識が顧問先に残る
3. 顧問契約のリスク: 解約、損害賠償請求、紹介経路の遮断

技術的には事務所側の被害ではなくても、ブランドとしての税理士事務所が被ったダメージは回復に時間がかかります。

守秘義務の延長としてのドメイン認証

税理士には税理士法に基づく守秘義務があり、顧問先情報の漏洩防止は事務所運営の基本です。多くの事務所では、書類の施錠保管・PCのパスワード管理・離席時の画面ロック・USB持出制限といった物理的・端末的な対策は徹底されています。

一方で、「事務所ドメインを第三者が騙れる状態のまま放置する」リスクについては、まだ意識が追いついていないケースが多く見られます。SPF/DKIM/DMARCといったメール認証の未設定は、

• 第三者が *@example-tax.jp の見た目で顧問先にメールを送れる
• 顧問先のメールサーバー（Gmail / Microsoft 365）が偽メールを「正規」として配送し得る
• 結果として顧問先の情報が攻撃者に流出する経路ができる

という意味で、書類の施錠を忘れた金庫と同じ状態です。守秘義務の物理側を固めても、ドメイン側が開いていれば情報漏洩経路は塞がれません。

メール認証は技術的な話に見えますが、「誰が事務所の名前を使ってメールを送れるかを事務所自身がコントロールする」仕組みです。守秘義務の実装の一部として位置づけるのが自然な整理です。

実務として押さえるべき最低ライン

具体的な設定値や手順は別記事に譲り、ここでは事務所として最低限確認すべき項目だけ列挙します。

• SPF: 事務所が使う送信サーバー（メールホスティング、会計ソフトの送信機能、メール配信サービス）を漏れなく登録する。詳細は SPFレコードの設定ガイド
• DKIM: 利用しているメールプロバイダ（Microsoft 365 / Google Workspace / レンタルサーバー等）の手順に従って有効化する
• DMARC: まずは p=none で観測を始め、レポートを確認しながら quarantine → reject に段階的に強化する。詳細は DMARCの設定手順
• 顧問先への送信元固定の周知: 事務所からのメールは特定のドメイン・特定のアドレスからしか出さないことを契約時の説明資料に明記する

加えて、税務関連のメールは事務所ドメインだけでなく、会計ソフトベンダー（弥生・freee・マネーフォワード等）の送信ドメインから届くことも多いため、顧問先には「事務所ドメイン + これらの正規ドメイン以外からの納税・送金関連メールは必ず電話で確認する」という運用ルールも併せて伝えると、二次被害の抑止につながります。

よくある運用上の落とし穴

実際の事務所運営の中で起きがちなのは、以下のようなケースです。

• 会計ソフトの代理送信機能を後から追加し、SPFに登録し忘れる: 顧問先への明細送付が突然届かなくなる、もしくは認証失敗で迷惑メール扱いになる
• 複数のメールホスティングを併用している: 過去のサーバー移転時に旧サーバーのSPF記述を残しており、廃止済みサーバーが含まれたまま運用されている
• 所員の個人デバイスからメール送信している: スマートフォンのメールアプリ経由でDKIM署名なしの送信が行われ、認証失敗の温床になる
• 退所した所員のアドレスを放置している: フリーアドレスへ転送設定が残り、過去の顧問先情報がそこへ流れ続ける

いずれも技術的には小さな見落としですが、顧問先から見れば「税理士事務所からのメールが信頼できない」状態として認識されてしまいます。年に1回、設定とアカウント棚卸しの時間を確保するだけで、ほとんどは防げます。

顧問先との信頼を技術で裏付ける

税理士事務所にとってドメイン認証は、新しい付加サービスではなく、すでに提供している守秘義務の延長線上にある基礎工事です。設定そのものは一度行えば長く効きますが、未設定のまま運用している事務所は今もなお相当数あります。

繁忙期前の比較的余裕のあるタイミングで、自所のドメインがどの状態にあるかを把握しておくと、繁忙期に偽メールが顧問先に届く事態を未然に防げます。顧問先に対しても、日頃の書類管理と同じ温度感で「メールの送信元は事務所側で管理しています」と説明できる状態をつくることが、長期的な信頼の土台になります。

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。