「フィッシングメールって、見ればわかるでしょ」——本当にそうでしょうか?最近の標的型攻撃メールは、取引先からの正規メールと見分けがつかないレベルになっています。
メールはサイバー攻撃の入り口として最も多く使われる経路です。ランサムウェア・情報漏洩・不正送金といった深刻なインシデントの多くは、1通のメールから始まります。「怪しいメールを開かなければいい」という個人の注意力だけに頼る対策は、組織規模では機能しません。技術的な対策と運用の仕組みを組み合わせることが重要です。
この記事では、代表的なメール攻撃の手口・SPF・DKIM・DMARCの仕組みと設定・組織での運用対策を解説します。
インフラセキュリティの基礎については「若手インフラエンジニアが最初に身につけるべきセキュリティ知識10選」を先にご覧ください。
メール経由の攻撃が増え続ける理由
攻撃者がメールを攻撃の入り口として使い続ける理由はシンプルです。コストが低く・成功率が高く・追跡されにくいからです。
- メールアドレスさえ入手すれば誰にでも送れる
- 1万通送って1人でも開けば成功
- 送信元を偽装することが技術的に容易
- 受信者が「自分が騙された」と気づかないケースが多い
加えて近年はAIを使って自然な日本語の文章を生成した攻撃メールが増えており、文章の不自然さで見抜くことが難しくなっています。
インシデント発生時の対応については「セキュリティインシデント対応入門」を参照してください。
代表的なメール攻撃の手口を理解する
フィッシング——偽サイトへ誘導する
フィッシング(Phishing) 銀行・ECサイト・クラウドサービス等の正規サービスを装った偽メールを送り、偽サイトへ誘導してIDとパスワードを盗み取る攻撃手法。URLや見た目が本物に酷似しており見分けにくい。
フィッシングの典型的なシナリオは以下の通りです。
① 「アカウントが不正アクセスされました。
今すぐパスワードを変更してください」という
メールが届く
② メール内のリンクをクリックすると
本物そっくりの偽ログイン画面が表示される
③ IDとパスワードを入力すると攻撃者に送信される
④ 盗まれた認証情報で本物のサービスに不正ログインMFAを設定することでパスワードが盗まれても不正ログインを防げます。MFAの実装については「MFAとは?多要素認証の仕組みと実務での導入・運用ガイド」を参照してください。
標的型攻撃メール——特定の組織・個人を狙う
標的型攻撃メール(Spear Phishing) 特定の組織・個人を狙って送られる攻撃メール。送信先の名前・所属・業務内容・取引先情報などを事前に調査した上で、本物と見分けがつかない内容で送られる。
不特定多数に送るフィッシングと異なり、標的型攻撃メールは「あなた宛て」として作られます。
【標的型攻撃メールの例】
送信者:取引先A社の田中様(を装った偽アドレス)
件名:先日ご依頼いただいた見積書をお送りします
本文:お世話になっております。
先日ご依頼いただきました件について
見積書をお送りします。ご確認ください。
添付:見積書_20260501.zip(マルウェア入り)実際の取引先名・担当者名・案件名まで記載されるケースがあり、注意力だけで防ぐことは困難です。
ビジネスメール詐欺(BEC)——送金・情報を騙し取る
BEC(Business Email Compromise:ビジネスメール詐欺) 経営幹部や取引先を装ったメールで、従業員に不正な送金・個人情報の提供・機密情報の送付を指示する詐欺。1件あたりの被害額が大きく世界中で被害が増加している。
典型的なシナリオは「社長を装ったメールで経理担当者に緊急の振込を指示する」「取引先を装って振込先口座の変更を依頼する」といったものです。BECはシステムを攻撃するのではなく人間の判断を攻撃します。
マルウェア添付——ファイルを開かせて感染させる
マルウェア(Malware) 不正かつ有害な動作を行うソフトウェアの総称。ランサムウェア・バックドア・情報窃取型マルウェア等が含まれる。メールの添付ファイルやURLリンク経由で配布されることが多い。
Officeマクロ・PDFの脆弱性・ZIPファイル内の実行ファイルなどが配布手段として使われます。攻撃手法の詳細については「AD攻撃手法と要塞化」も参照してください。
参考:フィッシング対策ガイドライン | フィッシング対策協議会
メールセキュリティの技術的な対策——SPF・DKIM・DMARCを理解する
送信元を偽装したメール(なりすましメール)を技術的に防ぐための3つの仕組みがあります。
SPF——送信元IPアドレスを検証する
SPF(Sender Policy Framework) ドメインの所有者がDNSに「このドメインからメールを送信することが許可されているIPアドレス」を登録する仕組み。受信メールサーバはSPFレコードを参照して送信元IPが正規のものかを検証する。
DNSのTXTレコードにSPFレコードを設定することで、自社ドメインを騙った送信元偽装メールを受信側で検知できます。
# SPFレコードの例(DNS TXTレコード)
v=spf1 include:spf.protection.outlook.com -all
# 各パラメータの意味
v=spf1 → SPFバージョン1
include:... → 指定したサービスのIPアドレスを許可
-all → 上記以外はすべて拒否(ハードフェイル)DKIM——電子署名でメールの改ざんを検知する
DKIM(DomainKeys Identified Mail) メール送信時に電子署名を付与し、受信側で署名を検証することでメールが改ざんされていないことを確認する仕組み。送信ドメインの秘密鍵で署名し・受信側がDNSから取得した公開鍵で検証する。
SPFは「送信元IPアドレス」を検証しますが、DKIMは「メールの内容が改ざんされていないか」を検証します。2つを組み合わせることでなりすましメールへの対策が強化されます。
DMARC——SPF・DKIMの結果を基にポリシーを適用する
DMARC(Domain-based Message Authentication, Reporting, and Conformance) SPFとDKIMの検証結果を基に、認証に失敗したメールをどう処理するか(通過・隔離・拒否)のポリシーを定義する仕組み。認証失敗の報告レポートを受け取ることもできる。
DMARCはSPF・DKIMの「結果をどう扱うか」を定義します。
# DMARCレコードの例(DNS TXTレコード)
v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com
# 各パラメータの意味
p=none → 何もしない(モニタリングのみ)
p=quarantine → 迷惑メールフォルダに振り分ける
p=reject → メールを拒否する(最も厳格)
rua= → 集計レポートの送信先DMARCの導入手順
いきなり p=reject にすると正規メールが届かなくなるリスクがあります。以下の順序で段階的に移行することを推奨します。
ステップ1:p=none(モニタリング)
→ レポートを確認して正規メールへの影響を把握する
ステップ2:p=quarantine(隔離)
→ 認証失敗メールを迷惑メールフォルダへ振り分ける
ステップ3:p=reject(拒否)
→ 認証失敗メールを完全にブロックする組織・運用面での対策
メールフィルタリングの設計
技術的な認証の仕組みに加えて、メールフィルタリングで脅威を検知する仕組みが必要です。
| フィルタリングの種類 | 内容 |
|---|---|
| スパムフィルター | 大量送信メール・既知のフィッシングメールを遮断 |
| マルウェアスキャン | 添付ファイルをスキャンして既知のマルウェアを検知 |
| サンドボックス分析 | 添付ファイルを隔離環境で実行して不審な動作を検知 |
| URLフィルタリング | メール内のURLをクリック時に検証・危険なサイトへのアクセスをブロック |
Microsoft 365環境ではDefender for Office 365(Safe LinksとSafe Attachments)でこれらの機能を実現できます。
ユーザー教育と訓練
技術的な対策だけでは防げないBECや高度な標的型攻撃には、ユーザー教育が重要です。
定期的な訓練メール(フィッシングシミュレーション) 実際のフィッシングメールを模した訓練メールを組織内で送信し、開封率・クリック率・報告率を計測します。訓練の目的は「責める」ことではなく「気づく力を養う」ことです。
報告しやすい文化の醸成 「怪しいメールを開いてしまった」「クリックしてしまった」という事実を報告しやすい組織文化を作ることが、インシデントの早期発見につながります。報告を責めると隠蔽につながり被害が拡大します。
よくある失敗パターン
① SPFレコードを設定しているがDMARCを設定していない
SPFだけでは送信元偽装を完全には防げません。DMARCを設定することで、SPF・DKIMの認証失敗メールをどう処理するかを明示的に定義できます。まず p=none でモニタリングから始めてください。
② DMARCを最初から p=reject に設定して正規メールが届かなくなった
段階を踏まずに最も厳格なポリシーを適用した結果、自社から送信する正規メールが受信側で拒否されるケースがあります。必ず p=none でレポートを確認してから段階的に移行してください。
③ 訓練メールの結果で開封した社員を責めた
フィッシング訓練の目的は意識向上であり、開封した社員を特定して責めることではありません。責める文化は「報告しない文化」を生み、本物のインシデント発生時に初動が遅れる原因になります。
④ MFAを設定していないためフィッシングでパスワードが盗まれて不正ログインされた
パスワードが盗まれてもMFAがあれば不正ログインを防げます。フィッシング対策としてMFAの設定は最も効果的な単一対策の一つです。
メールセキュリティチェックリスト
技術的な設定
- 自社ドメインのSPFレコードをDNSに設定している
- DKIMを設定してメールに電子署名を付与している
- DMARCを設定して認証失敗メールの処理ポリシーを定義している
- DMARCのレポートを定期的に確認している
- メールフィルタリング・マルウェアスキャンを設定している
認証・アクセス管理
- メールアカウントにMFAを設定している
- 退職者のメールアカウントを速やかに無効化している
運用・教育
- フィッシング訓練メールを年1回以上実施している
- 怪しいメールの報告手順を従業員に周知している
- BECを想定した送金・振込処理の確認手順を定めている
まとめ——メールは攻撃の入り口と心得る
メールセキュリティの核心は「1通のメールから始まる侵害を止める」設計です。個人の注意力だけに頼るのではなく、SPF・DKIM・DMARCで技術的に偽装メールを排除し・MFAでパスワード盗難の影響を限定し・訓練で組織全体の検知能力を高める——この3層の対策が揃って初めて効果を発揮します。
今日確認すべきことは1つです。自社ドメインのSPFレコードが設定されているか確認してください。以下のコマンドで確認できます。
nslookup -type=TXT example.comv=spf1 から始まるレコードが表示されなければ、SPFが設定されていない状態です。まずSPFの設定から始めてください。
コメント