ウイルス攻撃やサポート詐欺、不正アクセスなど年々手口が巧妙化し、被害のおさまらないサイバー犯罪のひとつに「なりすましメール」があります。金銭を詐取されるといった個人のフィッシング被害のほか、企業にとっても社内の機密情報を詐取されたり、自社を騙られて悪質な行為をおこなわれるなど、重大なリスク要因です。
本記事ではマーケティングでメールを使うことも多い企業にとって、押さえておきたい基本情報や対策を解説します。
人事・経営層のキーパーソンへのリーチが課題ですか?
BtoBリード獲得・マーケティングならProFutureにお任せ!
目次
「なりすまし」はサイバー空間で行われやすい悪質な行為
なりすましはオンラインでもオフラインでも行われる悪質な行為ですが、サイバー空間ではより行われやすいといえるでしょう。
そもそも「なりすまし」とは、特定の人物や団体との関係あるなしにかかわらず、他人が当該人物や団体の名称などを騙り、他者に対してあたかも本人であるかのように振舞うことを指す言葉です。サイバー空間においては、他人のログインIDやパスワードを盗用して他者のシステムにアクセスする、他人の名称を使ってフィッシングメールを送りつけるといったアプローチがなりすましの例として知られています。
単になりすましを行うだけであれば、必ずしも具体的な被害を及ぼすとは限らないものの、混乱を招きかねません。また、なぜなりすましを行うのか、なりすましを行う動機を考えたとき、そこには悪意が存在している可能性が高く、加害・被害を前提としているといえます。
なりすまし行為には、他人になりすまして相手の反応を楽しんだり、興味の対象となる情報にアクセスしたりといった悪ふざけ程度の評価にとどまるケースもありますが、個人や企業に深刻なダメージを与える詐欺行為が多く、深刻な問題となっています。
企業相手では取引先や実在の従業員になりすまし、特定の企業に対して標的型攻撃メールを送ったり、企業やサービスを騙ったなりすましメールによってユーザーを詐欺被害に陥れるフィッシングといったものが代表例です。なりすましメールを送りつける目的は、金銭や情報を騙しとったり、相手先のシステムを感染させたりすることにあります。
なりすまし行為が行われるプラットフォームはメールだけでなくSNSやECサイト、メタバース上など多岐にわたりますが、本記事では、「なりすましメール」に焦点を絞って解説します。
▼メールによるフィッシング、スパムメールなどについてはこちらの関連記事で詳しく解説しています。
スパムとは?意味や種類、迷惑メールの見分け方や対処法
スパムメール、迷惑メールとは?対策を例と一緒に解説
ランサムウェアとは?仕組み、感染経路、被害事例、具体的な対策を解説
なりすましメール被害事例
IPA(独立行政法人情報処理推進機構)が決定、発表している「情報セキュリティ10大脅威 2025」を参照するかぎりでも、なりすましメールによる脅威が軽視できないものであるとわかります。
組織の脅威で直接的にメールの文字が含まれているのは、第9位のビジネスメール詐欺で、2018年から8年連続の選出です。他の脅威は第1位の「ランサム攻撃による被害」など、「メール」という文字こそ入っていないものの、なりすましメールが関係する脅威が上位にランクインしています。
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2025」
https://www.ipa.go.jp/security/10threats/10threats2025.html
以下でなりすましメールによる具体的な詐欺の手口、事例を紹介します。
ビジネスメールのなりすましで偽の口座へ入金させる
取引先を騙ったビジネスメールを送り付け、取引代金の振込先に偽の口座を指定して入金させる手口、事例です。取引に関するやりとりを盗み見ることで正規の情報を織り交ぜ、支払側の担当者を信用させて代金を騙し取ります。参考となった事例では、およそ半分の金額を取り戻せていますが、損害を回復できないケースも多いと考えられています。
出典:独立行政法人情報処理推進機構「ビジネスメール詐欺(BEC)の詳細事例1」(PDF)
https://www.ipa.go.jp/security/bec/hjuojm0000003c8r-att/000102394.pdf
企業の社長になりすまし、グループ企業役員に金銭支払いを求める
A社の社長になりすまし、グループ企業であるB社の役員に金銭的協力を要請するメールを送り付ける手口です。もっともらしくグループ内での事業にかかわる話を持ちかけることで、金銭を騙し取ろうとします。
出典:独立行政法人情報処理推進機構「ビジネスメール詐欺(BEC)の詳細事例6」(PDF)
https://www.ipa.go.jp/security/bec/hjuojm0000003c8r-att/case6.pdf
証券会社になりすましたメールでユーザーを偽サイトへ誘導し、認証情報を入力させてアカウントを乗っ取り
証券会社を名乗って情報の更新や確認など至急の対応を促すような内容のなりすましメールを送ります。記載するURLをクリックさせて偽サイトに誘導し、ログインIDやパスワードを入力させて盗み取る、アカウントを乗っ取る手口です。証券会社のみならず銀行など金融関連企業のなりすましも少なくありません。この手口は突然送られてくるメールの内容に焦って対応することを狙っているといえます。リンク先の偽サイトも本物のコピーであり、信じやすく作られているケースが一般的です。
出典:みずほ証券「インターネット取引サービスにおける不正アクセスおよび不正取引への注意と対策のお願い」
https://www.mizuho-sc.com/security/crime/phishing.html
なりすましメールで宝くじの公式サイトを装う偽サイトへ誘導し、個人情報を盗む
宝くじの公式サイトを騙って、お得な情報であるとみせかけた偽メールを送ります。期間限定の案内などで対応を急がせ、偽サイトに誘導して個人情報などをフィッシングする手口です。公式サイト上での宝くじの購入ではクレジットカード情報の登録など、金銭的被害に直結しかねない重要な項目があります。
出典:フィッシング対策協議会「宝くじ公式サイトをかたるフィッシング(2025/10/23)」
https://www.antiphishing.jp/news/alert/takarakuji_20251023.html
郵便会社になりすましたメールで配達物に関する連絡を装い、個人情報を盗む
郵便会社になりすましたメールによるフィッシングは、配達物に関する連絡をはじめとしてさまざまな件名で送られます。サービス案内やアカウントの確認、会社からのお願いなどです。
出典:日本郵便株式会社「日本郵便を装った不審メール及び架空Webサイトにご注意ください。」
https://www.post.japanpost.jp/notification/notice/fraud-mail.html
国税庁になりすましたメールで未納税金支払いを命じ、金銭を詐取する
なりすましメールは民間企業を騙ったものばかりではありません。公的機関のなりすましも多数確認されています。たとえば、国税庁になりすました偽メールを送り付け、税金の未納分と称して金銭を騙し取る手口があります。税に関して曖昧な記憶しかない人や、差押などの文言に焦ってしまい、指示通りに支払ってしまう人を狙った手口だといえるでしょう。
出典:国税庁「不審なショートメッセージやメールにご注意ください」(PDF)
https://www.nta.go.jp/data/040721_03jouhou.pdf
「なりすましメール」によくみられる特徴
なりすましメールには、その多くにみられる共通した特徴があります。
メールアドレス文字列が正規のものと酷似している
もしメールアドレスが似ても似つかないものであれば、騙される可能性も低くなると考えられることから、騙し手が使用するアドレスが正規のアドレスに似ているのは当然といえます。しかし、なりすましメールの多くは似ているだけでなく酷似したアドレスを使っている点に注意が必要です。一見しただけでは偽物と気付かないような1文字違いや、ドメインの「.com」を「.net」に変えただけなどといったケースがあります。
違和感のあるURLをクリックするよう誘導する
サイバーセキュリティに詳しい人でなくても、「なんだか違和感がある」と思えるURLに誘導するなりすましメールは少なくないようです。ハイパーリンクのURLを確認したら正規のサイトとは無関係な文字列になっているケースなどがあります。
実行ファイルやマクロ付きファイルが添付されている
「.exe」「.xlsm」「.docm」や、それらを圧縮したZIPなどの添付ファイルもなりすましメールの特徴のひとつです。うっかり開いてしまうとウイルス感染するおそれがあります。
注意すべきは、これらの特徴のなかには、直ちになりすましメールだとは決めつけられないものがある点です。慎重に対応することで被害を回避しましょう。
受信した「なりすましメール」を見分けるための基本的な心構え
近年、なりすましメールの手口はますます巧妙化しています。以下に挙げる対策ですべての被害を回避できるわけではありませんが、まずはあらためてなりすましメールを見分けるための基本的な心構えと具体策の実行が重要です。
メールアドレスやリンク先のURLは必ず目視確認する
送られてきたメールのアドレスや、メール本文に記載されているクリック先のアドレスは、必ず人の目で確認することを徹底します。キチンと確認すれば、本物の企業とはまったく関係のない名称や、無意味な文字列が使用されているケースに気付けるでしょう。その時点でなりすましメールである可能性が高いといえます。
不審感があったり違和感を覚えたときは、無視できれば無視し、また職務上の理由などで無視できない場合でも、手元にある本物のアドレスと比較したり、本物をWeb検索で確認したりといった対応をとったうえでその後の扱いを判断しましょう。
怪しいと思ったら文面をWeb検索してみる
なりすましメールに騙されない定番的な方法のひとつに文面のWeb検索があります。なりすましメールには不特定多数に送信されているものも多く、Web上で被害報告などの情報が出回っているケースも少なくないため、扱いを決めるうえで有効な判断材料です。
金銭や取引に関する重要な内容の場合には相手に直接確認をとる
明らかになりすましメールで無視が妥当だと判断できればよいですが、メールの内容が金銭の支払いや取引に関するものである場合、もし本物なら放置するとまずいと考えることもあるでしょう。そのようなときは、使用経験がある本物の電話番号や本物の公式ホームページに掲載されている電話番号、あるいは対面などによる直接の確認が重要です。間違ってもメールに記載されている電話番号にアクセスしてはいけません。
企業が社内で徹底すべき対策
なりすましメールの脅威にさらされている企業が社内で徹底すべき対策について解説します。
二段階認証や多要素認証の活用
二段階認証を導入することで、なりすましメールを経由した自社システムや自社サービスへのログイン、不正アクセスを防止できる可能性があります。顧客のログインに際しては、「秘密の質問」や「ワンタイムパスワード」、生体認証の導入により、安心・安全な運用が可能です。二段階認証、多要素認証は顧客のスマートフォンを利用することで、なりすまし側である攻撃者のアクセスを遮断できる可能性を高くできます。
▼二段階認証についてはこちらの記事で詳しく解説しています。
二段階認証とは? 仕組み・有効性・使用方法をわかりやすく解説
メールアドレスの非公開化
顧客に対してはメールアドレスを公開しないで、Webフォームによる問い合わせ受付を活用することにより、なりすましメールに攻撃されるリスクを軽減できます。あくまでも外部に公開しないだけであり、社内ではメールアドレスを利用することから、アドレス流出が絶対にないとはいえないかもしれません。しかし、外部からの着信を想定していないため、なりすましメールが送られてきたとしてもすぐに気付く可能性が高いでしょう。
公開する必要がある場合は、画像化することで機械的に読まれなくする対策が考えられます。
従業員へのセキュリティ教育を強化・徹底する
複数人が勤務する職場では、従業員に対するセキュリティ教育の強化・徹底は避けられません。誰か1人でもセキュリティ意識の低いメンバーがいれば、そこから突破されるおそれがあるためです。具体的な例としては主に以下の取り組みを行います。
- 基本的なサイバーセキュリティの教育
- なりすましメール対策として差出人、件名、リンク先のURL表示などの確認の徹底
- 怪しいと感じるメールは開封しない、リンク先をクリックしない運用の徹底
- 少しでもおかしい点があれば上長や担当者に報告・連絡する体制と情報共有の徹底
▼セキュリティ教育に欠かせないリテラシーについてはこちらの記事で詳しく解説しています。
リテラシーとは?ITリテラシーの意味も含め解説します
セキュリティツールの導入とアップデート
メールセキュリティツールやアンチウイルスソフトを導入することで、なりすましメールの脅威を抑えることが可能です。
社用デバイスのOSやセキュリティツールを最新版にアップデートする
基本的な対策として欠かせないのがOSも含めたセキュリティツールのアップデートです。OSやセキュリティツールのバージョンが古いと、最新の攻撃に対する脆弱性が高まってしまいます。
サイバーセキュリティソフト・ツールで強化できるなりすましメール対策
サイバーセキュリティソフト、セキュリティツールによるなりすましメール対策の強化法について解説します。
送信ドメイン認証
送信ドメインの認証によりなりすましメールを見抜く対策法です。
- DMARC
「Domain-based Message Authentication Reporting and Conformance」の略称で、ディーマークと呼ばれています。以下で述べるSPFとDKIMに絡んで、ドメインの信頼性判断を強力にサポートする技術です。 - SPF
「Sender Policy Framework」の略で、ドメインが偽物かどうかをチェックします。SPFレコードと呼ばれる情報を利用して、送信ドメイン認証を行う仕組みです。 - DKIM
「DomainKeys Identified Mail」の略で、電子署名された送信メールを受信側が鍵を使ってチェックする送信ドメイン認証法です。
迷惑メールフィルター
迷惑メールフィルターは、受信ボックスに届けるべきでないメールを迷惑メールとして自動で分類し、迷惑メールフォルダなどに振り分ける対策法です。迷惑メールと判断する条件は送信元アドレスや件名、不自然な記述など多岐にわたりますが、細かい部分は迷惑メールフィルターによって異なります。多くの迷惑メールフィルターでは、特定の設定条件をユーザーが指定してブロックすることも可能です。
「自社になりすまされる」ことの危険性と対策
2025年末の時点でも、なりすましメールの脅威は増すばかりともいわれていますが、自社がなりすまされることの具体的な危険性はどのようなものでしょうか。その対策とともに解説します。
自社がなりすまされた場合の被害
何者かが自社になりすまして偽メールを送ることにより、顧客に被害が発生する可能性があります。ありもしない負債を指摘されて金銭を騙し取られたり、偽サイトに誘導されて個人情報を抜きとられたりすることです。このような被害が発生すると、加害者ではなくても自社に対するイメージが悪化します。
「あの会社と関係すると被害に遭うおそれがある」とか「あの会社はどのような対策をとっていたのか」といった声があがりかねません。その結果、ありもしない話が伝播する風評被害(ブランド力の低下、売上・利益の減少)といった被害につながりかねません。
また、管理不足による顧客情報の漏洩など、自社に起因する二次被害であった場合には、法的なものも含めて責任を問われる可能性があるでしょう。
▼風評被害への対策については、ぜひこちらの記事もあわせてご覧ください。
会社の評判を守る!炎上させない風評被害対策と発生時の正しい対処法【企業担当者必見】
レピュテーションリスクとは?企業評判を守るための対策・事例を徹底解説
自社の名を騙られないための対策
自社の名を騙られないことは企業として重要な課題です。なりすましメールに使われないための有効な対策として、主に以下の方法があります。
- メールアドレスやパスワードの定期的な変更
メールアドレスやパスワードを長期間にわたって変更しないまま使っていると、知られる範囲の広がりや漏洩によって悪用されるリスクが高まります。パスワードの使い回しもリスクが高いため避けるべきといえます。メールアドレスやパスワードを定期的に変更することで、本物のメールアカウントを乗っ取られるリスクの回避可能性を高めることが可能です。 - BIMI (Brand Indicators for Message Identification)
自社から送ったメールにブランドロゴを表示させることで、見た人がひと目で本物のメールだと認識できるようにする仕組みがBIMIです。DMARCなどの裏付けがあり簡単に偽装できないことから、信頼性の証しとなっています。 - 注意喚起
なりすましメールは手を変え品を変えて送りつけられています。そのため、顧客に対する定期的な注意喚起に加え、新たな情報が生じた際のタイムリーな情報提供による注意喚起が欠かせません。
個人にも企業にもリスク回避のために求められる「ゼロトラスト」の考え方
なりすましメールだけでなく、セキュリティリスクが存在する要因の一つに「信頼」が考えられます。そこに着目したリスク回避の考え方がゼロトラストです。
ゼロトラストモデルとは
普段やり取りしているメールを信頼していると、本来信頼する根拠がないメールまで疑う気持ちが薄れ、なりすましの偽メールを本物と思い込んでしまい被害に遭うケースがあります。こういったリスクを回避するためには、社内も含めて何も信頼しない考え方であるゼロトラストモデルが効果的です。
信頼しないから疑ってかかり、しっかりとチェックすることが可能になります。個人か企業かにかかわらず、ゼロトラストを中心に据えたセキュリティ体制を包括的に構築することが求められているといえるでしょう。
未知なる手口・脅威にも対応できるAIセキュリティ
ゼロトラストモデルにおいては、AIセキュリティの活用も効果的です。AI技術を取り入れたセキュリティなら、人間の主観を超えた学習やビッグデータ分析、対策の実施などが効果的に行えます。
まとめ:なりすましメールへの対策は社内でも顧客向けサービス上でも万全に
なりすましメールは金銭を騙し取るなど自己の利益だけでなく、企業に損害を与える目的でも使われる悪質な行為です。狙われた際に生じ得る損害は小さなものでは済まないケースが少なくありません。企業にとって、なりすましメール対策は避けて通れない課題です。ゼロトラストの考え方も含め、社内はもちろんのこと顧客向けサービスにおいても万全な対策が望まれます。
