なりすましメール対策|被害を防ぐための具体的な方法
なりすましメール(スプーフィング)の仕組みと対策方法を解説。SPF、DKIM、DMARCの設定から、社員教育、技術的対策まで包括的に紹介します。
なりすましメールは、企業を狙った詐欺の主要な手口です。2024年のIPA調査によると、ビジネスメール詐欺(BEC)の被害額は数億円に及ぶケースも報告されています。
なりすましメールとは
なりすましメール(スプーフィング)とは、送信者のメールアドレスを偽装して送信される詐欺メールです。
主な手口
| 種類 | 説明 | 例 |
|---|---|---|
| ドメインスプーフィング | 正規ドメインを完全に偽装 | admin@example.com を詐称 |
| 類似ドメイン | 似たドメインを使用 | examp1e.com(lが1) |
| 表示名偽装 | 表示名だけを偽装 | 表示名を偽装し別アドレスから送信 |
| リプライ先偽装 | 返信先を別アドレスに | Reply-Toヘッダーを悪用 |
被害事例
ビジネスメール詐欺(BEC):
- 経営者になりすまして振込指示
- 取引先になりすまして口座変更依頼
- IT部門になりすましてパスワードを収集
フィッシング:
- 銀行になりすましてログイン情報を窃取
- クラウドサービスになりすまして認証情報を窃取
なぜなりすましが可能なのか
メールプロトコル(SMTP)には、送信者を検証する仕組みが元々ありません。
# SMTPでは送信者を自由に設定できる
MAIL FROM: <ceo@yourcompany.com> ← 誰でも設定可能
この問題を解決するために、SPF、DKIM、DMARCが開発されました。
技術的な対策
対策1: SPFを設定する
SPFは、許可された送信元IPアドレスを定義します。
example.com TXT "v=spf1 include:_spf.google.com -all"
効果:
- 許可されていないIPからの送信を検知
- 受信側でスパム判定の材料に
限界:
- 転送されたメールは失敗する
- Fromヘッダーは検証しない(エンベロープFromのみ)
対策2: DKIMを設定する
DKIMは、メールに電子署名を付与します。
selector._domainkey.example.com TXT "v=DKIM1; k=rsa; p=..."
効果:
- メールの改ざんを検知
- 送信ドメインの真正性を証明
限界:
- 署名がないメールは判定できない
- 設定が複雑
対策3: DMARCを設定する
DMARCは、SPFとDKIMの結果を統合し、ポリシーを適用します。
_dmarc.example.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"
ポリシーの段階:
| ポリシー | 動作 | 推奨フェーズ |
|---|---|---|
| p=none | 監視のみ | 導入初期 |
| p=quarantine | 隔離 | 移行期 |
| p=reject | 拒否 | 最終目標 |
重要: いきなりp=rejectにせず、段階的に強化しましょう。
対策4: BIMIを検討する
BIMI(Brand Indicators for Message Identification)は、認証されたメールに企業ロゴを表示する仕組みです。
default._bimi.example.com TXT "v=BIMI1; l=https://example.com/logo.svg"
効果:
- 受信者が正規メールを視覚的に識別
- ブランド保護
要件:
- DMARC p=quarantine以上が必要
- VMC(認証マーク証明書)が必要(一部メールサービス)
組織的な対策
対策5: 社員教育
技術的対策だけでは不十分です。社員が不審なメールを見分ける力が必要です。
教育すべきポイント:
- 送信者アドレスを必ず確認
- 緊急性を煽るメールは疑う
- リンクはクリック前にURLを確認
- 添付ファイルは慎重に開く
- 不審なメールはIT部門に報告
見分けるポイント:
□ 送信者のドメインが正しいか
□ 普段と異なる依頼内容でないか
□ 日本語が不自然でないか
□ 急かす表現が多くないか
□ リンク先のURLが正規か
対策6: 振込・支払いルールの策定
BECの多くは、振込指示のなりすましです。
ルール例:
- 振込先変更は電話で確認必須
- 一定金額以上は複数人承認
- 緊急の振込依頼は特に慎重に
対策7: インシデント対応手順の整備
なりすましメールを受信した場合の対応手順を決めておきます。
1. 不審なメールを発見
↓
2. リンクをクリックせず、添付を開かない
↓
3. IT部門/セキュリティ担当に報告
↓
4. 調査・対応
↓
5. 全社への注意喚起(必要に応じて)
受信側の対策
自社が送信側として対策するだけでなく、受信側としても対策が必要です。
メールフィルタリング
- スパムフィルターの有効化
- 外部ドメインからのメールにラベル付け
- 類似ドメインの検知
外部メール警告
社外からのメールに警告バナーを表示します。
【外部メール】このメールは社外から送信されました。
リンクや添付ファイルには注意してください。
多要素認証(MFA)
フィッシングでパスワードが漏洩しても、MFAがあれば不正アクセスを防げます。
自社ドメインが悪用されていないか確認
DMARCレポートを確認
DMARCのrua(集計レポート)を設定すると、自社ドメインを騙ったメールの送信状況がわかります。
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com
確認すべきポイント
- 見知らぬIPアドレスからの送信がないか
- 認証失敗が急増していないか
- 海外からの不審な送信がないか
RiskLensで監視
RiskLensでドメインを登録すると、メール認証の設定状況を継続的に監視できます。
チェックリスト
送信側対策:
- SPFレコードを設定した
- DKIMを有効化した
- DMARCをp=rejectで設定した
- DMARCレポートを定期確認している
受信側対策:
- スパムフィルターが有効
- 外部メール警告を設定した
- MFAを全社導入した
組織対策:
- 社員教育を実施した
- 振込ルールを策定した
- インシデント対応手順がある
まとめ
| 対策 | 効果 | 難易度 |
|---|---|---|
| SPF設定 | 送信元IP検証 | 低 |
| DKIM設定 | 改ざん検知 | 中 |
| DMARC設定 | ポリシー適用 | 中 |
| 社員教育 | 人的ミス防止 | 低 |
| 振込ルール | BEC被害防止 | 低 |
なりすましメール対策は、技術と人の両面から行う必要があります。まずはRiskLensで自社ドメインのメール認証状況を確認し、不足している対策を特定しましょう。