不審なメールの見分け方
——フィッシング攻撃の手口と社員教育のポイント
「ヤマト運輸から荷物のお知らせ」「三菱UFJ銀行:セキュリティ確認のお願い」——そのメール、本物ですか?フィッシングメールは年々精巧になり、もはや見た目だけで判断することはほぼ不可能です。社員1人でも騙されれば、会社全体が危険にさらされます。見分けるポイントと、組織として取るべき対策を整理します。
フィッシングメールの現状——なぜ見分けにくいのか
かつてのフィッシングメールは、日本語がおかしかったり、送信元が明らかに怪しいアドレスだったりと、比較的見破りやすいものでした。しかし今は違います。
攻撃者は本物のメールを徹底的に研究し、デザイン・文面・リンクの見た目まで忠実に再現します。ロゴ、フォント、文体、差出人名——すべてが本物そっくりに作られています。警察庁の報告によると、フィッシングの報告件数は近年急増を続けており、2023年には年間100万件を超える届け出が確認されています。
よくある手口——3つのパターン
攻撃者が最もよく利用する「なりすまし対象」には傾向があります。次の3つは特に注意が必要です。
宅配業者(ヤマト運輸・佐川急便・日本郵便など):「不在通知」「再配達のお知らせ」を装い、偽サイトへ誘導して個人情報・クレジットカード情報を詐取する。宅配利用率が高く、社員も疑いにくい。
金融機関・決済サービス(銀行・Amazon・PayPayなど):「不正利用を検知しました」「アカウントが一時停止されました」などの緊急文言でクリックを誘発する。焦りによる判断の鈍化を狙う。
取引先・社内の上司:実在する取引先や上司の名前・メールアドレスを偽装し、振込依頼や機密情報の送付を求める「ビジネスメール詐欺(BEC)」。金額が大きくなりやすい。
偽の制服を着た配達員——どうやって見分けるか
フィッシングメールを理解するのに、次のたとえが役立ちます。
本物そっくりの制服を着た偽の配達員が玄関に現れたとします。荷物も持っているし、バッジも本物に見える。見た目だけでは「本物か偽物か」を判断するのはほぼ不可能です。
では、どうやって見分けるか?——「その荷物の配送番号を、自分で公式サイトから調べる」しかありません。配達員が差し出した紙のURLではなく、自分でブラウザに公式サイトのアドレスを打ち込み、追跡番号を入力して確認する。これがフィッシング対策の本質です。
メールも同じです。リンクをクリックするのではなく、公式アプリやブックマークから直接アクセスして確認する習慣が、フィッシングから身を守る最も確実な方法です。
3つの確認ポイント——技術的な知識がなくてもできること
「見た目」で判断するのは限界があります。代わりに、次の3点を機械的に確認する習慣を社内に広めてください。
-
1
送信元のドメインを確認する
差出人の名前ではなく、メールアドレスそのものを確認します。「ヤマト運輸」という名前であっても、アドレスが「@kuroneko-yamato.info」や「@yamato-delivery.net」のような見慣れないドメインなら偽物です。本物のヤマト運輸からのメールは「@kuronekoyamato.co.jp」で届きます。ドメイン部分(@以降)を必ずチェックしてください。
-
2
リンク先のURLを「クリック前に」確認する
メール内のリンクにマウスカーソルを重ねると(クリックせずに)、実際の遷移先URLが画面下部に表示されます。表示されているリンクテキストと実際のURLが一致しているか確認しましょう。「https://www.amazon.co.jp」と書かれていても、実際のリンク先が「http://amazon.co.jp.secure-check.info/」のような別ドメインであれば偽物です。スマートフォンでは長押しでURL確認できます。
-
3
添付ファイルの拡張子を確認する
「請求書.pdf」という名前でも、実際の拡張子が「.exe」「.js」「.zip」の場合は絶対に開いてはいけません。Windowsの設定で「拡張子を表示する」にしておくことを全社員に徹底してください。また、心当たりのない請求書・納品書・契約書の添付ファイルは、送信元に電話で確認してから開くことを原則にします。
フィッシングメールの多くは「緊急性」を演出します。「24時間以内に確認しないとアカウントが停止されます」「至急ご対応ください」といった文言は、冷静な判断をさせないための心理的トリガーです。急かされるほど、立ち止まって確認することが重要です。本物の企業が、メール1通でアカウントを即停止することは通常ありません。
「1人の油断が会社全体の危機」——組織として取るべき対策
個人の注意力に頼るだけでは限界があります。100人いれば、1人は騙される可能性があります。フィッシング対策は、個人のリテラシー向上と組織的な仕組みづくりを両輪で進める必要があります。
社員教育——知識よりも「習慣」を作る
セキュリティ研修の落とし穴は、「知識を教えて終わり」にしてしまうことです。大切なのは、不審なメールを受け取ったときの行動フローを体に染み込ませることです。
Step 1:開かない・クリックしない——少しでも怪しいと感じたら、まずメールを閉じる。
Step 2:報告する——「自分で判断する」のではなく、担当部署・上長にすぐ共有する。
Step 3:公式ルートで確認する——気になる内容であれば、メールのリンクではなく公式サイト・電話で直接確認する。
フィッシングメールを受け取った社員が「やばいと思ったけど、大げさかと思って黙っていた」となるのが最悪のパターンです。「報告したら褒める」文化を作ることが、実は最も効果的な対策です。
技術的な対策——メールが「届く前」に防ぐ
社員教育と並行して、技術面での設定も重要です。特にDMARC・SPF・DKIMの設定は、自社ドメインが第三者に悪用されるのを防ぐために不可欠です。
- SPF(Sender Policy Framework):自社ドメインからメールを送れるサーバを指定し、なりすましメールを受信側で検知しやすくする
- DKIM(DomainKeys Identified Mail):メールに電子署名を付けることで、送信元の正当性と改ざんがないことを証明する
- DMARC(Domain-based Message Authentication):SPFとDKIMに基づく認証の失敗時に、受信側がどう処理するかを指定する。設定することで「自社ドメインを使ったフィッシング」を大幅に抑制できる
- 迷惑メールフィルターの精度確認:利用中のメールサービスでフィッシングフィルタが有効になっているか定期的に確認する
- 不審メールの報告フロー整備:「誰に・どうやって報告するか」を文書化し、全員に周知しておく
攻撃者があなたの会社のドメイン(例:@yourcompany.co.jp)を使ってフィッシングメールを送ることができます。取引先や顧客が「yourcompany.co.jpから来たメール」を信じてしまい、被害に遭う——しかも加害者は自社になります。設定の有無は外部から確認できます。
まとめ——今日から始められること
- フィッシングメールは見た目では判断できない。「ドメイン・URL・拡張子」の3点を機械的に確認する習慣を作る
- 「至急」「緊急」の文言は疑うシグナル。焦らず公式ルートで確認する
- 不審メールの報告フローを整備し、「報告しやすい文化」を作ることが最大の防衛策
- 自社ドメインのSPF・DMARC設定を確認し、第三者による「なりすましメール」を防ぐ
- 1人の油断が会社全体の被害につながる——対策は個人の意識改革と組織の仕組みの両輪で
自社のSPF・DMARC設定、確認できていますか?
Leapsecの無料診断では、外部から見た自社ドメインのメール認証設定(SPF・DMARC)を5分・登録不要・無料で確認できます。
「自社ドメインが悪用されていないか」を今すぐチェックしましょう。
結果はメールで届きます。営業電話は一切ありません。
出典・参考
警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」(2024年)/フィッシング対策協議会 月次報告書
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)