top of page
検索

なりすましメール約5割——差出人が正しそうでも信じてはいけない理由

  • 2 分前
  • 読了時間: 7分

「差出人が知っている会社名だった」

「メールアドレスもそれっぽく見えた」

「いつも使っているサービスからの通知に見えた」


こうした理由で、メールを信用して開いてしまうことがあります。

しかし最近のフィッシングは、差出人名やメールアドレスが正しそうに見えても、安全とは言い切れません。


フィッシング対策協議会の2026年3月の月次報告では、調査用メールアドレスに届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレスやドメイン名を使った「なりすまし」フィッシングメールが約49.7%だったとされています。


つまり、フィッシングメールの約半数は、「差出人が本物っぽく見える」可能性があるということです。


「差出人を確認しましょう」だけでは足りない


フィッシング対策として、よく言われるのが「差出人を確認しましょう」という対策です。


もちろん、これは今でも大切です。

ただし、差出人の表示だけで判断するのは危険です。


警察庁も、電子メールは仕様上、受信者から見える「送信元名」や「送信元メールアドレス」を変更できるため、メールソフトに表示される情報だけで真偽を判断することは困難だと説明しています。特にスマートフォンでは表示項目が少ない場合もあり、判断はさらに難しくなります。


つまり、


  • 会社名が正しそう

  • サービス名が入っている

  • メールアドレスが本物っぽい

  • ロゴが入っている

  • 文面が自然


というだけでは、安心できない時代になっています。


なりすましメールは、なぜ中小企業にも関係あるのか


「大企業や有名サービスが狙われる話でしょ?」


そう思う方もいるかもしれません。


確かに、有名なECサイト、金融機関、クレジットカード会社、配送業者などをかたるフィッシングは多く確認されています。


しかし、中小企業にも関係があります。

理由は大きく2つあります。


1つ目は、社員が受け取る側として被害に遭う可能性があることです。


  • 経理担当者がネットバンキングの偽メールを信じてしまう。

  • 営業担当者がクラウドサービスの偽ログイン画面にIDとパスワードを入力してしまう。

  • 管理者がメールアカウントの警告通知に見えるメールからログインしてしまう。


こうした被害は、会社のメール、クラウド、会計、取引先との連絡に直結します。


2つ目は、自社のドメインがなりすましに使われる可能性があることです。


警察庁は、企業の本物のメールアドレスになりすましたメールでフィッシングサイトへ誘導するケースがあるとして、自社ドメインの悪用防止のために、送信ドメイン認証技術の導入を検討するよう呼びかけています。


つまり、フィッシング対策は「だまされないため」だけでなく、「自社の名前を悪用されないため」にも必要です。


SPF・DKIM・DMARCとは何か


なりすましメール対策で重要になるのが、送信ドメイン認証です。

代表的なものが、次の3つです。


SPF

メールを送ってよいサーバーを、ドメイン側で指定する仕組みです。

簡単に言えば、「このドメインのメールは、このサーバーから送られるはずです」と示すための設定です。


DKIM

メールに電子署名を付けて、送信元の正当性や改ざんの有無を確認する仕組みです。

簡単に言えば、「このメールは、正規の送信元から送られたものです」と証明しやすくする設定です。


DMARC

SPFとDKIMの結果をもとに、認証に失敗したメールをどう扱うかを指定する仕組みです。

警察庁も、DMARCはSPFとDKIMを組み合わせたものであり、認証に失敗したメールの扱いを送信側で指定できるため、「なりすまされているメールは受け取らない」といった強いポリシーを受信側に実施させることができると説明しています。


ただ設定すれば終わり、ではない


ここで注意したいのは、SPF・DKIM・DMARCは「入れればすべて解決」というものではないことです。


たとえば、会社が複数のサービスからメールを送っている場合があります。


  • 自社メールサーバー

  • Google Workspace

  • Microsoft 365

  • メール配信サービス

  • 請求書発行サービス

  • 予約管理サービス

  • ECサイト

  • 問い合わせフォーム


これらの設定を整理しないままDMARCを厳しくすると、正規のメールまで迷惑メール扱いされたり、届かなくなったりする可能性があります。


そのため、まずは、


  • 自社ドメインでどこからメールを送っているか

  • SPFが正しく設定されているか

  • DKIMが有効になっているか

  • DMARCが設定されているか

  • いきなり拒否ではなく、段階的に確認できる状態か


を確認することが重要です。


受け取る側として決めたい3つのルール


送信ドメイン認証は大切ですが、メールを受け取る社員側の運用ルールも必要です。

特に中小企業では、次の3つだけでも先に決めておくと現実的です。


① 差出人名だけで判断しない

「知っている会社名だから大丈夫」と判断しないことです。

特に、支払い、アカウント変更、本人確認、パスワード再設定、多要素認証、契約更新などに関するメールは、差出人名だけで判断しないようにしましょう。


② メール内リンクからログインしない

警察庁は、電子メールやSMS内のリンクを安易にクリックせず、公式サイトをブックマークに登録したり、公式アプリを活用したりすることを推奨しています。

銀行、会計サービス、クラウド、ECサイト、管理画面などは、メール内リンクではなく、普段使っている公式ルートから開く方が安全です。


③ お金・契約・アカウント変更は別ルートで確認する

次のような内容は、メールだけで判断しないルールにしましょう。


  • 振込先変更

  • 請求書の差し替え

  • 支払い方法の変更

  • 契約更新

  • 管理者アカウント変更

  • パスワード再設定

  • 多要素認証の再登録


確認するときは、メールに書かれた電話番号やリンクではなく、以前から使っている連絡先や公式サイトで確認します。


送る側として確認したい3つの設定


自社から取引先や顧客にメールを送っている会社は、送る側の対策も必要です。

まず確認したいのは、次の3つです。


① SPFが設定されているか

自社ドメインのメールを送ってよいサーバーが、正しく指定されているか確認します。


② DKIMが有効になっているか

Google WorkspaceやMicrosoft 365、メール配信サービスなどを使っている場合は、DKIMを有効化できるケースがあります。


③ DMARCが設定されているか

最初から強い設定にする必要はありません。

まずは現状確認用の設定から始めて、正規メールの送信経路を整理しましょう。

段階的にポリシーを強める進め方が現実的です。


「メールが届けばOK」ではなくなっている


中小企業では、メール設定は一度作ったままになっていることが少なくありません。


ホームページ制作時に作ったメール設定。

以前の担当者が設定したDNS。

メール配信サービスを追加したときの一時的な設定。

もう使っていないサービスの古い設定。


こうしたものが放置されていると、メールの信頼性やセキュリティに影響することがあります。

これからは、メールも単なる連絡手段ではなく、会社の信用を支えるIT資産として管理する必要があります。


差出人が正しそうなメールほど、一度立ち止まる


フィッシングメールは、明らかに怪しいものばかりではありません。

むしろ、差出人が正しそうで、文面も自然で、いつもの業務に紛れ込んでくるメールほど危険です。


大切なのは、社員に「見抜いてください」と頼ることではありません。


  • 差出人名だけで判断しない

  • メール内リンクからログインしない

  • お金や契約に関わる操作は別ルートで確認する

  • 自社ドメインのSPF・DKIM・DMARCを確認する

  • 迷ったときの相談先を決める


こうした仕組みを整えることが必要です。


なりすましメール対策は、受信者を守るだけでなく、自社の名前と信用を守るための対策でもあります。


「自社のメール設定、大丈夫かな?」と思ったら


「SPFやDKIM、DMARCが設定されているか分からない」

「自社ドメインがなりすましに使われないか不安」

「社員向けのメール確認ルールを作りたい」


そんな場合は、ぜひ一度ご相談ください。


ITワークラボでは、中小企業の外部IT担当者として、メール・ドメイン・DNS設定の確認、SPF/DKIM/DMARCの基本確認、社員向けのメール確認ルールづくりまで、現場に合わせてサポートしています。


まずは、日々のメールをどう確認するか。そこから一緒に整理していきましょう。




📖 あわせて読みたい


 


関連ページ



コメント

bottom of page