私のメールアドレスのなりすましメールを止めるには?

私のメールアドレスのなりすましメールを止めるには?

なりすましメールに終止符を!

2025年2月3日
著者: Yunes Tarada
翻訳: 逆井 晶子

この記事はPowerDMARCのブログ記事 How to Stop Spoofing Emails from My Email Address? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メールのなりすましは、悪意のある攻撃者が正規の送信者を装うためにメールヘッダの「From」アドレスを改竄するサイバー犯罪であり、これは何十年にもわたってブランドを悩ませてきた手口です。
メールが送信されるとき、「From」アドレスには実際の送信サーバは表示されず、アドレス作成時に入力されたドメインが表示されます。
これにより、適切なアンチスプーフィング対策が導入されていない場合、なりすましを見分けることが非常に難しくなります。

この点が、なりすまし攻撃が成立してしまう背景のひとつです。

なりすましは、スパムやフィッシングに多く利用されます。
パンデミックなどの世界的な大事件の際には、フィッシングの発生件数が年間平均と比較して220%増加したと報告されています。
フィッシングとは、ユーザ名、パスワード、クレジットカード情報(PIN番号を含む)などの機密情報を詐取する不正な試みであり、信頼できる相手を装って被害者を「釣る」ことからこの名がつけられています。

このようななりすましメールには、機密情報を引き出すための悪質なリンクや添付ファイルが含まれていることが多くあります。
また、マルウェアやウイルスをダウンロードさせたり、ランサムウェアの配布経路となる場合もあります。

重要なポイント

  1. メールのなりすましは、送信者アドレスを偽装して信頼できる送信元になりすますことで、フィッシングやマルウェアの拡散、深刻な財務的・評判的被害を引き起こします。
  2. 強固な防御策には多層的なアプローチが必要であり、メール認証(SPF、DKIM、DMARC、BIMI)の実装、メールフィルタやセキュアゲートウェイの使用、従業員の教育が含まれます。
  3. SPFレコードの適切な管理(ルックアップ数制限の順守、IPリストの更新)およびDMARCポリシーの強制(p=rejectやquarantine)は、認証効果を高める上で重要です。
  4. 攻撃者は、表示名の偽装、SMTPの脆弱性を利用した正規ドメインの悪用、似たドメインの使用など様々な手法を用いて受信者を欺きます。
  5. 個人でも、送信者情報をよく確認し、不審な内容やリンクをチェックし、怪しい依頼は別の手段で確認することで、なりすましメールを見抜くことができます。

なりすましメールを止める方法

1. メール認証プロトコルを導入する

SPF、DKIM、DMARCという主要な3つのプロトコルに加えて、MTA-STS(SMTP MTA Strict Transport Security)やTLS-RPT(TLS Reporting)といったプロトコルも、暗号化を強制し、TLS接続の問題に関するレポートを提供することで、より安全なメールエコシステムに貢献します。

SPF(Sender Policy Framework)

基本的なメール認証プロトコルの1つで、DKIMおよびDMARCと併用することで、メールのなりすまし対策を強化できます。
SPFレコードは10件のDNSルックアップ制限があり、各メール処理のコストを抑える設計になっています。
SPFの設定は比較的簡単ですが、運用・管理の維持には注意が必要です。

特に複数のサードパーティメール送信サービスを利用する場合、この10件の制限を超えるリスクが高くなります。
制限を超えるとSPFが機能せず、正規のメールが認証に失敗したり、ドメインがなりすましやビジネスメール詐欺(BEC)に対して脆弱になります。

DKIM(DomainKeys Identified Mail)
メール改竄を防ぐために、送信されるすべてのメッセージに署名を付けるメール認証プロトコルです。
DKIMを利用することで、送信メールの完全性が保たれ、なりすましメールとの戦いにおいて有効な対策となります。
DMARC(Domain-based Message Authentication, Reporting & Conformance)
DMARCは、SPFおよびDKIMの上に構築されるメール認証プロトコルで、なりすましやフィッシングから組織を保護するために設計されています。
ドメイン所有者は、SPFまたはDKIMによる認証および整合性チェックに失敗したメッセージを受信サーバがどのように処理するかを定義できます(例:「隔離」または「拒否」)。
これにより、受信側は正規のドメインから送信されたものではないメールを識別し、適切に処理できるようになります。

2. メールトラフィックを定期的に監視する

ドメインのDMARCレポートを確認することで、メールトラフィックや送信元を監視しましょう。
これらの詳細なレポートは、メールチャネルやドメインの活動状況、メールヘッダ、送信元情報などを包括的に把握できます。
これにより、なりすましの兆候を素早く発見し、迅速に対応することが可能になります。

ただし、これらのレポートはXML形式で提供されるため、技術的な知識のないユーザにとっては読み解くのが難しい場合があります。
DMARCレポート分析ツールを使用すると、これらのレポートを人間が読みやすい形式に変換できます。
これにより、技術的な複雑さが解消され、誰でも理解しやすくなります。

また、送信者の詳細を特定し、攻撃を効果的に阻止するために、メールアドレスから送信元情報を照会できるツールも利用可能です。

3. アンチスプーフィング用のメールフィルタを使用する

アンチスプーフィングフィルタは、送信元アドレスの不一致、フィッシングの特徴、悪意のある添付ファイルなど、なりすましの兆候があるメールを分析します。
これらのフィルタは、利用しているメールクライアントやサービス側で適切に設定する必要があります。
正しく構成すれば、なりすましメールの受信を防ぐことができます。

4. 組織固有の「From」アドレスを設定する

SPF、DKIM、DMARCなどのメール認証プロトコルを有効にしたカスタムの「From」アドレスを設定しましょう。
これにより、未承認の送信者があなたのドメインを悪用し、署名トークンを使用することを防止できます。
なりすましメールを防ぐためには、企業のドメインに対してDMARCポリシーを「p=quarantine」または「p=reject」に設定して強制する必要があります。

5. 従業員にメールセキュリティを教育する

組織において、従業員は時に最も脆弱なポイントとなり、不注意によりドメインをなりすまし攻撃の危険にさらす場合があります。
ただし、十分な教育を行うことで、この脆弱性をメール詐欺に対抗する有効な防御力へと転換できます。
無料のメールセキュリティ講座を通じて、攻撃のベクトル、ベストプラクティス、警告サインなどに関する洞察を得ることで、従業員は常に最新情報を把握し、警戒を怠らないようになります。

6. BIMI(Brand Indicators for Message Identification)を実装する

BIMIは、DMARCポリシーが強制されていることを前提とした視覚的なメールセキュリティ機能で、認証されたメッセージの横にブランドのロゴを表示することができます。
BIMI はブランドロゴの表示を通じて、メールの信頼性とブランドの信用度を強化します。

攻撃者がドメインを装ってメールを送ったとしても、そのメールがDMARC(およびBIMI)の検証に失敗すれば、ロゴが表示されず、受信者が偽物であると気づきやすくなります。
これはなりすましを防止するだけでなく、正規メールを受信するたびにブランド認知を高める効果もあります。
ただし、BIMIを正しく構成するには、DMARCポリシーが「p=quarantine」または「p=reject」に設定されており、BIMIに準拠したSVGロゴが必要です。

7. メールゲートウェイソリューションを活用する

メールゲートウェイは、受信メールのセキュリティを高めるためにフィッシングメールをフィルタリングします。
これらのゲートウェイは、人工知能、サンドボックス、脅威インテリジェンス技術を組み合わせて、メールによる脅威を積極的に検出・防止します。

ハッカーはどのようにあなたのメールアドレスをなりすますのか?

「自分のメールアドレスがなりすましに使われているのでは?」と感じた場合、攻撃者がどのようにしてなりすましを行っているのかを知ることが重要です。
そうすることで、今後より慎重に対応することができます。

なりすましが可能となるのは、Simple Mail Transfer Protocol(SMTP)が本来、送信者アドレスの正当性を検証する仕組みを持っていないためです。
送信側のメールサーバは、アドレスが正規のものであるかどうかを判断できない場合が多いのです。
攻撃者はこれを利用し、メールの構文を偽装したり、スクリプトを使ったり、メールクライアントのAPIを操作して送信者アドレスを設定します。
これにより、高度なプログラミング知識がなくても、数千通の偽メッセージを正規ドメインから送信されたように見せかけることができてしまいます。

以下は一般的ななりすまし手法です。

表示名のなりすまし
これは、送信者の表示名だけを偽装する方法で、模倣したい連絡先と同じ名前の新しいメールアカウントを作成します。
ただし、表示される送信者のメールアドレスは異なります。
このようなメールは一見正規のように見えるため、スパムと判断されにくい場合があります。
正規ドメインのなりすまし
この手法では、「From」ヘッダーに信頼できるメールアドレス(例:customercaresupport@example.com )を使用します。
この場合、表示名もメールアドレスも偽装されます。
攻撃者は内部ネットワークに侵入するのではなく、SMTPの仕様を悪用して「To」や「From」のアドレスを手動で指定します。
似たドメインによるなりすまし
ドメインが保護されている場合、攻撃者はドメインのなりすましができません。
そのため、攻撃者は似たドメインを作成します。
たとえば、「O(オー)」の代わりに「0(ゼロ)」を使い、「www.amazon.com」の代わりに「www.amaz0n.com」のようにします。
この手口は、多くの受信者がこうしたわずかなスペルの違いに気づかないことを悪用しています。

なりすましの兆候を見抜く方法

なりすましメールの兆候

次のような場合には注意が必要です。

受信者がなりすましメールを見抜くためのヒント

技術対策があっても、個々人の見極めもまた重要です。
以下のような点に注意してください。

送信者情報の不一致
送信者のドメイン名を注意深く確認しましょう。
「example.com」が「example.co」になっているなど、少し違っていないか、あるいはまったく別のドメインになっていないか注意してください。
文法ミスやタイプミス
多くのフィッシングメールには明らかなスペルミスや文法の誤りがあります。
怪しいリンクや添付ファイル
リンクにカーソルを合わせるだけで、実際に遷移するURLを確認できます(クリックしないでください)。
特に見知らぬ送信者からの予期せぬ添付ファイルには注意が必要です。
緊急性や脅しのある文言
すぐに対応させようとする緊急性の演出や、不安を煽る表現は、よく使われる手口です。
機密情報の要求
正規の企業がパスワード、社会保障番号、クレジットカードの全情報などをメールで求めることはほとんどありません。
汎用的な挨拶
「お客様各位」のように名前が書かれていないメールは注意が必要です(ただし、必ずしも詐欺とは限りません)。

怪しいと思った場合は、リンクをクリックしたり、添付ファイルを開いたりせず、正規の連絡手段(公式Webサイトや電話番号など)を使って送信者に確認するか、社内のIT部門に報告してください。

なりすましメールによる被害

なりすましメールは「パンドラの箱」のような存在であり、サイバー攻撃の多く(ある研究では70%以上)が悪意のあるメールをきっかけに始まるとされています。
また、多くのデータ漏洩には、なりすましのようなソーシャルエンジニアリングが関係しています。
以下のような深刻な結果を引き起こす可能性があります。

  1. なりすましにより、あなたの名前でフィッシングメールが送信され、ログイン情報やクレジットカード情報などの機密情報が盗まれる可能性があります。
  2. なりすましは、企業の幹部になりすまして送金や機密情報の共有を求めるBEC(ビジネスメール詐欺)攻撃につながる可能性があります。
  3. なりすましメールは、マルウェアやスパイウェアの配布、さらにはランサムウェア攻撃を引き起こすことがあります。
  4. ドメインが繰り返しなりすまされることで、評判が大きく損なわれ、ブランドへの信頼が低下します。
    これにより、正規のメールであっても開封されにくくなります。
    また、商標権や知的財産権の侵害に発展する可能性もあります。
    このような攻撃は、組織に重大な財務的損失をもたらす可能性があります。
  5. なりすまし攻撃が続くことで、個人情報の盗難や不正アクセスに発展する可能性があります。
  6. メールドメインを保護していない組織は、コンプライアンス規制の下で罰金や法的責任を問われる可能性があります。
  7. なりすましメールが取引先や業者を狙った場合、不正取引、情報漏洩、業務の中断などによって、ビジネス関係が損なわれることもあります。

自分のドメインがなりすまされているときはどうすればいいか?

自分のメールアドレスがなりすまし攻撃に使われている疑いがある場合、以下のベストプラクティスに従って対応してください。

なりすましを防ぐためのベストプラクティス

以下は、メールのなりすましを防ぐために効果が証明されているベストプラクティスです。

従業員の意識を高める
従業員は、なりすまし攻撃を防ぐうえで最前線の防衛となる、非常に重要な存在です。
そのため企業は、フィッシングメールの特徴の見極め方、送信者情報の確認方法、疑わしいメールを受け取った際の対処などについて、従業員に適切なトレーニングを提供する必要があります。
従業員がどのように対応すべきかを理解することで、攻撃の被害に遭う可能性を大幅に減らせます。
送信元リスト(SPFレコード)の正確な管理
現在許可されているIPアドレスや、代理送信を許可しているサードパーティベンダのみが含まれているよう、SPFレコードを定期的に見直し、更新しましょう。
もしベンダとの契約を終了した場合は、そのIPアドレスをSPFレコードから速やかに削除してください。
古いレコードを放置すると、元ベンダのシステムが侵害された場合でも、SPFチェックを通過してしまい、なりすましメールが送信されるリスクがあります。
実用的なメールセキュリティの習慣を導入する
ユーザには、見知らぬ送信者の添付ファイルは開かない、メールアドレスの細かな違いに注意する、不審なメールはきちんと報告するといった基本的な行動を心がけてもらうことが重要です。
こうした日常の小さな行動が、なりすまし攻撃のリスクを大幅に減らします。
配信不能レポート(NDR)の無効化
スパムやなりすましメールに NDR を返さない設定にすることで、攻撃者に余計な情報を与えず、戦術を洗練させる材料を与えずに済みます。
こうしたシンプルな設定変更だけでも、今後のなりすまし攻撃を受けるリスクを抑える効果があります。

なりすまし対策のためのツールとリソース

なりすましとの戦いに役立つ、以下のようなツールを導入することができます。

SPFフラットニングツール
SPFレコードは、DNSルックアップ回数が多くなりすぎると正常に機能しなくなる場合があります。
これを防ぐために、SPFマクロを利用した最適化機能を備えた SPFフラットニングツールを活用することを推奨します。
従来型のフラットニングや動的フラットニングでも一時的な回避は可能ですが、SPFマクロを活用できる高度なフラットニングツールの方が、より効果的で持続的な対策となります。
また、ツールによっては、メールサービスプロバイダーが変更するIPアドレスを定期的に確認し、SPFレコードを常に最新の状態に保つ機能を備えているものもあります。
DMARC XMLリーダー
DMARCレポートはXML形式で送られてくるため、手動で解析するのは困難です。
DMARC XMLリーダーを使用することで、レポートを読みやすい形式に変換し、認証エラーや未承認の送信者、ドメインなりすましの兆候を把握できます。
これにより、メールセキュリティ状況を監視し、適切な対応を取ることが可能になります。
サードパーティのメールセキュリティソリューション
高度なメールセキュリティソリューションは、AI駆動の脅威インテリジェンスを活用して、攻撃のパターンや傾向を検知・予測します。
これらの新技術により、なりすましメールが受信トレイに届く前にブロックすることができます。
たとえば、PowerDMARCは、予測的脅威インテリジェンス分析を利用して、サイバー攻撃を未然に察知することができます。

まとめ

メールのなりすましは、サイバー領域で最も長く続いている脅威の一つですが、企業は適切なツールや戦略を導入することで、確実にリスクを抑えることができます。
継続的な監視、メール認証のベストプラクティスの順守、アンチスプーフィングツールへの投資を通じて、大部分のリスクを軽減することが可能です。

メールのなりすましを防ぐことは、ブランドを大きな財務的損失や重大なデータ漏洩から守ることにもつながります。
今こそ積極的な対策を講じ、無料のDMARCトライアルに登録し、ドメインをなりすましから保護しましょう。