ドメイン番人
DMARCメール認証中小企業

なりすましメール対策|中小企業が今すぐやるべきこと

ドメイン番人6 分で読めます
目次

この記事でわかること

  • 中小企業を狙う「なりすましメール」の代表的な3パターン
  • なぜ中小企業ほど被害に遭いやすいのか、その構造的な理由
  • 自社ドメインが悪用されない状態にするための、具体的な5ステップ

中小企業でも届く「なりすましメール」の実態

「社長から経理担当に振込依頼のメールが来た。至急対応してほしいと書かれていたので手配したが、後から本人に確認すると送っていなかった」。IPAと警察庁が注意喚起を続けているビジネスメール詐欺(BEC)の典型的な手口です。被害は大企業だけでなく中小企業にも広がっており、1件で数百万円から数千万円の損害が発生するケースも報告されています。

なりすましメールには主に3つのパターンがあります。

中小企業を狙うなりすましメールの3つのパターン

1つ目は「送信元(From ヘッダー)の偽装」。攻撃者は自社と無関係のサーバーから、送信者欄だけ ceo@yourco.jp のように書き換えてメールを送ります。受信者のメールソフトには社長名が表示されるため、見た目では見分けがつきません。

2つ目は「類似ドメインの取得」。yourco.co.jp に対して yourco-co.jpyourc0.jp(数字の0)といった紛らわしいドメインを取り、取引先の担当者を装います。

3つ目は「表示名だけの差替え」。メール本文のヘッダーでは From: "山田社長" <attacker@gmail.com> のように、表示名のみ社長名にして実アドレスはフリーメールを使います。スマートフォンのメールアプリでは表示名しか見えないことも多く、気づきにくい手口です。

最近は「取引先からの契約書」を装った添付ファイル型や、実在する相手のメールスレッドに割り込む会話ハイジャック型も増えています。いずれも「社内で話題になっていた件について返信が来た」という状況を利用するため、違和感に気づきにくいのが特徴です。

なぜ中小企業で被害が多発するのか

大企業に比べて中小企業で被害が目立つ理由は、技術と運用の両面にあります。

技術面では、自社ドメインにSPF・DKIM・DMARCといったメール認証が設定されていないケースが多く見られます。認証が設定されていないと、受信側のメールサーバーは「このメールが本当に自社から出たものか」を機械的に判定できません。結果として、1つ目の「From ヘッダー偽装」がほぼ素通りしてしまいます。

運用面では、経営層と現場の距離が近いことが逆に仇になります。「社長から直接の指示メール」に対して、電話や対面で再確認する習慣がないと、偽のメールでもそのまま処理されてしまいます。

さらに、専任のIT担当者がいない企業では、不審なメールが届いてもログを追って送信元を調べる手段が限られます。被害に気づくのが請求書の支払い後ということも少なくありません。3つの技術要素の違いはSPF・DKIM・DMARCの違いをわかりやすく解説で詳しく紹介しています。

なお、2024年2月からGmailは1日5,000通以上を送る一括送信者にDMARC設定を必須化しました。受信側(Google)はなりすましの疑いがあるメールを強めに除外する方針を打ち出しており、自社ドメインの認証が甘いと、本物のメールまで迷惑メール扱いされるリスクが同時に高まっています。なりすまし対策は「加害されない」だけでなく「業務メールが相手に届く」ためにも必要な投資になりました。

今日から始める5ステップの対策

なりすまし対策は、DNS設定で完結する部分社内運用で防ぐ部分に分かれます。優先順位を間違えずに、上から順に進めるのが確実です。

なりすまし対策5ステップの優先順位

ステップ1: 自社ドメインの認証状況を確認する

まず現状把握から始めます。自社ドメインにSPF・DKIM・DMARCが設定されているか、DNSレコードを直接見ることで確認できます。認証が未設定のドメインを攻撃者に悪用されても、受信側は偽物と判定できません。

本記事末尾の無料診断ツールを使えば、ドメイン名を入力するだけで3つの認証状況を確認できます。

ステップ2: SPFとDKIMを設定する

SPFは「このドメインから送信を許可するメールサーバーの一覧」をDNSに登録する仕組み、DKIMは「送信時にデジタル署名を付け、受信側で改ざん検知する仕組み」です。両方を揃えて初めて、受信側が送信元の真贋を判定できます。

設定の具体的な手順はSPFレコードの設定方法|書き方と確認の手順にまとめています。Google WorkspaceやMicrosoft 365を使っている場合、DKIMは管理画面から発行できます。

ステップ3: DMARCをp=noneで開始する

SPFとDKIMを設定しただけでは、偽装メールを「どう扱うか」のルールが受信側に伝わりません。そこで使うのがDMARCです。

最初はp=none(監視モード)で開始します。このポリシーでは、認証失敗のメールも通常どおり配信されますが、誰からどれだけ送信失敗が起きているかをレポートで受け取れます。DMARCの仕組みと初期設定はDMARCとは?中小企業が今すぐ対応すべき理由、運用手順はDMARC設定方法を徹底解説を参照してください。

ステップ4: DMARCレポートで送信実態を把握する

p=noneで数週間運用すると、自社が把握していない送信元がレポートに現れることがよくあります。代表的なものはクラウドサービス、メール配信ツール、請求書発行サービスなど。これらが正規の業務利用なら、SPFまたはDKIMに登録して認証を通るようにします。

DMARCレポートはXML形式で集計データ(Aggregate Report)が送られてくるため、そのままでは読みにくく感じるかもしれません。無料の可視化ツールや監視サービスを使えば、送信元別の認証率・失敗件数を日次で確認できます。月次で5分レビューする運用を組み込めるかどうかが、第4ステップを乗り越える分かれ目になります。

正規送信元の整備が終わると、レポート上で「認証失敗しているのは攻撃者だけ」という状態に近づきます。

ステップ5: p=quarantine → rejectへ段階強化する

レポートで誤判定ゼロを確認したら、ポリシーをp=quarantine(迷惑メール振り分け)に上げます。数週間様子を見て問題なければ、最終的にp=reject(受信拒否)へ。ここまで到達すると、攻撃者が自社ドメインを詐称したメールは相手のメールボックスに届かなくなります。

まとめ

  • なりすましメールは「From 偽装」「類似ドメイン」「表示名差替え」の3パターンに大別され、前者2つは技術対策、最後は運用対策が主軸になります。
  • 中小企業で被害が多い背景には、メール認証の未整備と、経営層との距離が近い組織構造の両方があります。
  • 対策は「現状確認 → SPF/DKIM 設定 → DMARC p=none → レポート解析 → quarantine/reject 強化」の5ステップを順に進めると確実です。全体で1〜3か月が目安です。

まずは無料診断で現状をチェック

自社ドメインのSPF・DKIM・DMARC設定状況は、無料ドメイン診断で即時確認できます。ドメイン名を入力するだけで、どこから着手すべきかが見えてきます。

設定状況の読み方や、対策の優先順位がわからないときは、お気軽にご相談ください。20年のインフラ運用経験を持つ専門家が、状況に合わせた進め方をお伝えします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから