メールは依然としてサイバー攻撃の最大の入口です。フィッシング攻撃の90%以上がメール経由で行われており、スパムメール、偽装メール、悪意ある添付ファイルによる被害は年々増加しています。本記事では、迷惑メールの見分け方、危険な添付ファイルへの対処法、そしてSPF・DKIM・DMARCといったメール認証技術の仕組みを分かりやすく解説します。
スパムメールとフィッシングメールの見分け方
スパムメールは大量に送信される迷惑メールの総称ですが、中でも特に危険なのがフィッシングメールです。銀行、ECサイト、ゲームプラットフォームなどを装い、ログイン情報やクレジットカード番号を窃取しようとします。
フィッシングメールの特徴
- 緊急性を煽る文面:「アカウントが停止されます」「24時間以内に確認が必要」など
- 差出人アドレスの偽装:表示名は正規企業だが、実際のドメインが異なる(例:support@amaz0n-security.com)
- リンク先URLの不一致:表示テキストと実際のリンク先が異なる。マウスホバーで確認可能
- 不自然な日本語:機械翻訳のような文法ミス、敬語の不統一
- 個人名の欠如:「お客様各位」など、宛名が汎用的
危険な添付ファイルの種類と対処法
メールの添付ファイルはマルウェア配布の主要な手段です。以下のファイル形式には特に注意が必要です。
| ファイル形式 | 危険度 | リスク内容 |
|---|---|---|
| .exe / .scr / .bat | 極めて高い | 実行ファイル。ダブルクリックでマルウェアが即座に起動 |
| .docm / .xlsm | 高い | マクロ付きOfficeファイル。マクロ有効化でマルウェア実行 |
| .zip / .rar(パスワード付き) | 高い | セキュリティソフトの検査を回避する目的で暗号化 |
| .iso / .img | 高い | ディスクイメージ。Windows上でダブルクリックするとマウントされ内部の実行ファイルが見える |
| .html / .htm | 中程度 | HTMLスマグリング攻撃に利用。ブラウザで開くとマルウェアが自動ダウンロード |
| 中程度 | JavaScriptやリンクを埋め込み可能。古いPDFリーダーでは脆弱性を突かれる |
「パスワードは別メールでお送りします」としてパスワード付きZIPを送る手口は、セキュリティソフトのスキャンを回避するために攻撃者が多用する手法です。心当たりのない添付ファイルは、送信元に電話やチャットで確認してから開きましょう。
メール認証技術 - SPF・DKIM・DMARC
メールの送信元偽装を防ぐために、3つの認証技術が標準化されています。これらは主にメールサーバー管理者が設定するものですが、受信者側でも仕組みを理解しておくことで、不審なメールの判断に役立ちます。
SPF(Sender Policy Framework)
ドメインの所有者がDNSレコードに「このドメインからメールを送信できるサーバーのIPアドレス一覧」を登録する仕組みです。受信サーバーは送信元IPがSPFレコードに含まれるかを検証し、含まれていなければ偽装メールと判定します。
DKIM(DomainKeys Identified Mail)
送信サーバーがメールに電子署名を付与し、受信サーバーがDNSに公開された公開鍵で署名を検証します。メールの内容が途中で改ざんされていないことを保証する仕組みです。
DMARC(Domain-based Message Authentication, Reporting & Conformance)
SPFとDKIMの検証結果に基づいて、認証に失敗したメールをどう処理するか(何もしない / 迷惑メールに振り分け / 受信拒否)をドメイン所有者が指定できる仕組みです。DMARCレポートにより、自社ドメインが悪用されている状況を把握することもできます。
Gmailの送信者要件(2024年2月〜)
Googleは2024年2月以降、1日5,000件以上のメールを送信する送信者に対してSPF、DKIM、DMARCの全てを必須化しました。これにより、大手サービスからのメールで認証が通らない場合は、フィッシングの可能性が高いと判断できるようになっています。
日常で実践できるメールセキュリティ対策
技術的な仕組みに加えて、日常的な習慣でメールのセキュリティを大幅に向上させることができます。
- メールアドレスの使い分け:重要なサービスとニュースレター登録用で別のアドレスを使用
- 二要素認証の有効化:メールアカウント自体に2FAを設定し、乗っ取りを防止
- HTMLメールの画像読み込みを無効化:トラッキングピクセルによる開封確認を防ぐ
- エイリアスアドレスの活用:Gmailの「+」機能(例:user+shopping@gmail.com)で漏洩元を特定
- 不審メールの通報:フィッシングメールはフィッシング対策協議会(info@antiphishing.jp)に報告
参考文献・出典
- フィッシング対策協議会 - フィッシングレポート 2025(antiphishing.jp)
- Google Workspace - メール送信者のガイドライン(support.google.com)
- IPA - 標的型攻撃メールの傾向と対策(ipa.go.jp)
- RFC 7489 - DMARC(Domain-based Message Authentication, Reporting, and Conformance)
- Verizon - 2025 Data Breach Investigations Report