← PC・IT用語集へ戻る

なりすましメール

Spoofed Email
security network beginner
送信者の名前やメールアドレスを本物の企業や知人に偽装して送られる電子メール。
なりすましメール (Spoofed Email)

概要(サマリー)

なりすましメール(Spoofed Email)とは、差出人の名前やメールアドレス(Fromアドレス)を巧妙に偽装し、実在する有名な企業、公共機関、あるいは知人になりすまして送信される詐欺的な電子メールのことである。

受信者を信じ込ませて偽のWebサイト(フィッシングサイト)に誘導し、個人情報やパスワードを盗み出したり、ウイルス(マルウェア)に感染する添付ファイルを開かせたりするサイバー攻撃の代表例である。

詳細解説

なりすましメールとは何か

なりすましメールは、電子メールの仕組みの歴史的な弱点を利用した不正メールである。

手紙の封筒に書く「差出人の住所・氏名」を偽れるのと同様に、電子メールの「差出人(Fromヘッダー)」欄も、送信側で本物らしく見える値に書き換えられてしまうことがある。攻撃者はこの仕組みを悪用し、本物の公式アドレス(例: info@bank.com など)を名乗ってメールを送りつけてくる。

なぜ簡単に偽装できるのか

電子メールを送信する仕組み(プロトコル)である SMTP(Simple Mail Transfer Protocol)が1980年代に設計された当初、送信者が「本当にそのアドレスの持ち主であるか」を確認する認証の仕組みが組み込まれていなかった。

そのため、現在でも特別な対策をしていないメールサーバーやメール送信システムでは、送信元の表記を偽装したメールを送れてしまう場合がある。

なりすましを見破るための技術(送信ドメイン認証)

このメールの脆弱性を解決し、受信したメールが「本当にそのドメインから送信された本物のメールか」を検証する技術が、「送信ドメイン認証」である。現在、世界標準として以下の3つの技術が組み合わせて運用されている。

  1. SPF(Sender Policy Framework): 送信元のIPアドレスが、送信元ドメインのDNSに登録されている正当なサーバーのものかをチェックする。
  2. DKIM(DomainKeys Identified Mail): メールに電子署名を添付し、送信途中でメールの内容が改ざんされていないこと、および送信元が本物であることを証明する。
  3. DMARC(Domain-based Message Authentication, Reporting, and Conformance): SPFやDKIMの検証に失敗した「なりすましメール」を、受信側でどのように処理するか(通すか、ゴミ箱に捨てるかなど)のポリシーを送信ドメインの所有者が指示する仕組み。

これらの認証技術である SPF / DKIM / DMARC を適切に設定・検証することで、主要なメールサービス(GmailやOutlookなど)は、なりすましメールを「迷惑メール」として自動的に排除している。

AIコーディングとの関係

Webサービスを自作する際、システムから自動送信メール(会員登録完了メールやパスワード再設定メールなど)を送信する機能を実装することは非常に多い。

しかし、適切な設定を行わないと、あなたが作成したシステムから送られたメールが、受信側のメールサーバーから「なりすましメール」と判定され、すべて迷惑メールフォルダに振り分けられてしまう。AIにメール送信機能の実装や、サーバーインフラの設定方法を相談することで、セキュリティ基準を満たした設計をスムーズに行うことができる。

例えば、AIにドメインの信頼性を高めるためのアドバイスを求める際は、以下のように相談するとよい。

Node.jsとNodemailerを使って、ユーザーに会員登録用URLを送るシステムを作っています。
自作のメール送信機能から送ったメールがGmailで「なりすましメール」と誤判定されるのを防ぎたいです。
DNSサーバーに登録すべき SPF、DKIM、DMARC の基本的な設定項目や、メール送信時のヘッダー情報の注意点を教えてください。

AIは、DNS(ドメインネームシステム)に設定するTXTレコードの記述例や、メール送信時の暗号化通信(SMTP over TLSなど)の必要性、送信ドメイン認証の導入手順を丁寧に解説してくれる。

よくある勘違い

差出人のアドレスが本物の企業と同じなら安心?

全く安心できない。 前述の通り、メールの「差出人(Fromヘッダー)」は偽装されることがある。見た目のメールアドレスが企業の正しいものと完全に一致していても、送信ドメイン認証(SPF/DKIM/DMARC)の検証結果を確認するまでは、本物と信じ込んではならない。最近のメールアプリ(Gmail等)では、送信元が偽装されている可能性が高い場合、「このメールはなりすましの可能性があります」と警告を表示してくれる機能がある。

なりすましメールは添付ファイルを開かなければ安全?

基本的には添付ファイルを開いたり、本文中のURLをクリックしたりしなければ、メールを開いて読むだけで即座に被害に遭うことは少ない。しかし、メールが「HTML形式(画像や装飾が含まれるメール)」の場合、メールを開いた時点で非表示の画像が読み込まれ、送信者に「このアドレスの持ち主はメールを開封した(有効なアドレスである)」という情報が伝わってしまい、さらなる標的になる危険性がある。不審なメールは開封せずに削除するのが望ましい。

迷惑メールフィルタがあれば対策は不要?

Gmailなどの大手サービスは非常に高度なフィルタを搭載しているが、すり抜けて受信箱に届く巧妙ななりすましメールは存在する。また、自分自身がWebサービスを運営する場合は、送信者として「受信者のフィルタに引っかからないための正しい設定」を行う責任があるため、利用者としても開発者としても正しい知識が必要である。

まとめ

  • なりすましメールは、電子メールの送信仕様(SMTP)の弱点を突き、送信者を偽装したメールである。
  • フィッシングサイトへの誘導や、ウイルス感染を目的とした添付ファイルが主な手口である。
  • 対策として、送信ドメイン認証技術(SPF/DKIM/DMARC)が世界的に普及している。
  • 開発者としてメール送信機能を実装する際は、これらの認証設定を怠ると「迷惑メール」としてブロックされる原因になる。

情報ソース

より詳しくAIに聞いてみよう

  • 電子メールの仕組み(SMTP)において、なぜ差出人の名前を簡単に偽装できてしまうのか、初心者向けに図解や分かりやすいたとえ話で説明してください。
  • SPF、DKIM、DMARC のそれぞれの認証の役割と、これらを組み合わせることで「なりすましメール」をどのように検知できるのか、違いを教えてください。
  • AWSのSES(Simple Email Service)などの外部メール配信サービスを使ってメールを送信する際、なりすまし防止のDNSレコードを設定する手順を教えてください。
  • 自分が受信したメールが「なりすましメール」かどうか、メールのヘッダー情報(Return-PathやAuthentication-Resultsなど)を読み解いて見分ける方法を教えてください。
  • AIに「送信ドメイン認証(DMARC)のポリシーを徐々に厳しくしていくための移行プラン」を作成してもらうための指示文の書き方を教えてください。