MailData

STARTTLSで暗号化されたメール

なりすましメール大量発生時の対応ガイド

社会や他社に迷惑を掛けているのを素早く止めて自社の評価も守る

2025年1月13日
著者: 竹洞 陽一郎

最近、自社ドメインのアドレスを悪用し、他社名義の“なりすましメール”が大量に送信される事例が相次いで報告されています。
このまま放置すると、被害を受けた他社からの抗議やSNSでの批判が避けられません。早急に対策を講じる必要があります。

ご安心ください。
本ガイドの手順に沿って進めれば、確実になりすましメールを止めることができます。

1. DMARCをp=rejectに設定する

なりすましメールの大半は、DMARCが未設定、もしくは p=noneとなっているドメインが狙われています。
まずは、DMARCポリシーをp=rejectに変更することを最優先としてください。

「自社のメール設定に不備がある場合、本来のメールが届かなくなるのでは?」と心配になるかもしれません。
しかし、すでに大量のなりすましメールが出てしまっている場合、ドメインレピュテーションが下がっており、遅かれ早かれ正常なメールも届かなくなるリスクが高いのです。
多少の不備があっても、一刻も早くp=rejectにして、更なるなりすましメールの送信を止めることが最優先になります。

魚雷を受けて浸水した戦艦が、まだ数名の生存者がいても浸水区画を閉鎖するように、まずは被害を最小化させるための封鎖が必要です。
p=rejectにすることで、他社への被害を食い止め、ドメインレピュテーション回復へ向けた準備に着手できます。

p=rejectにした場合、1週間から10日程度で事態が概ね収束する例が多いです。

「p=quarantineではダメなのか?」と思うかもしれませんが、p=quarantineでは一時的に減少したように見えても、すぐに攻撃者が手口を変え、再び増加するケースがほとんどです。
必ずp=rejectに設定し、SMTPコネクションの段階でDMARC不合格のメールを拒否できる体制を整えましょう。

2. DMARCレポート分析を開始する

p=rejectへの切り替え後は、DMARCレポートが大量に届き始めます。
なりすましメールが膨大に送られているドメインの場合、1日あたり数百万〜数千万通のレポートを受け取ることも珍しくありません。

この膨大なデータを効率的に分析するためには、商用のDMARCアナライザなどのツール導入をおすすめします。
特に、PowerDMARCの代理店版「MailData」は、従量課金ではなくドメイン数による固定料金制をとっており、初期費用も不要のうえ、1か月無料トライアルがあるため、すぐに分析を始めることができます。

もちろん、オープンソースの分析ソフトやその他の商用分析サービスを検討するのも選択肢の一つです。
ただし、分析に時間をかけるほど、自社の正常なメールが届きにくい状況が長引く恐れがある点には注意してください。

3. SPF・DKIM・DNS設定を整備する

届いたDMARCレポートの中には、なりすましメールに関する情報だけでなく、御社が普段送信している正規のメールの合否も含まれています。
これらを精査しながら、SPFやDKIMの設定、アライメントの一致を進めることが重要です。
また、DNSSECを有効にして、DNSポイズニングによる不正ホスト生成を防ぐ対策も検討しましょう。
さらに、DNSのレスポンスタイムが遅い場合、DKIM署名検証がタイムアウトしてエラーになりやすいので、高速なグローバルDNSへの移行も視野に入れる必要があります。

「MailData」では、PowerDMARCの機能を活用しつつ、国内800以上のドメインで培ったノウハウをもとに迅速な選別と分析を行っています。
トライアル期間中には無料で一度、設定状況の分析を支援するサービスも受けられますので、一度の分析で具体的な課題がほぼ出揃います。

4. 困ったときはすぐにご連絡を

もし設定や分析の途中で問題が発生したり、手詰まりになったりした場合は、夜間でも構いませんので、早めにご相談ください。
「MailData」が1時間以内に対応し、速やかにサポートいたします。

まとめ

こうした手順を早急に進めることで、ドメインのレピュテーション悪化を最小限に抑えつつ、速やかななりすましメールの停止を目指すことが可能です。