メールスプーフィングとは？送信元を詐称してフィッシング・ビジネスメール詐欺に悪用される攻撃

メールスプーフィングとは？ざっくりと3行で

メールの送信元アドレス（From欄）を偽装して正規の組織・個人から送られたように見せかけることでフィッシング・ビジネスメール詐欺・マルウェア配布に悪用されるサイバー攻撃の手法のこと
メールプロトコル（SMTP）が設計上送信元の認証を行わない構造になっているため「正規のドメインから送られたように見えても本物かどうか確認する仕組み」として SPF・DKIM・DMARC の3つが標準的な対策だ
ビジネスメール詐欺（BEC）・フィッシングメール・なりすましメールの多くがスプーフィングを利用しており、取引先・銀行・社内上司を偽装した振込指示メールによる被害が国内外で多発している

【深掘り】これだけ知ってればOK！
よくある誤解
1. SPF・DKIM・DMARCを設定していれば完全にスプーフィングを防げると思っている
2. メールスプーフィングはフィッシングと同じだと思っている
会話での使われ方
【まとめ】3つのポイント
よくある質問
【出典】参考URL

【深掘り】これだけ知ってればOK！

メールスプーフィングへの3層対策を整理しよう。SPF（Sender Policy Framework）：送信元ドメインのDNSに「このドメインから送信できるサーバーのIPアドレス」を登録して受信側が送信元IPとDNSの記録を照合する。DKIM（DomainKeys Identified Mail）：メールに電子署名を付けて送信し受信側が署名を検証することで改ざんと送信元の正当性を確認する。DMARC（Domain-based Message Authentication Reporting and Conformance）：SPFやDKIMの検証に失敗したメールをどう処理するか（隔離・拒否）のポリシーを指定する。

なぜSMTPはなりすましを防げないのかを理解しよう。SMTPはインターネット黎明期に設計されたプロトコルで、当時はセキュリティより到達性を重視していたため送信元の認証が省略されている。メールの「封筒のFrom（MAIL FROM）」と「手紙のFrom（Header From）」が別々に設定できる構造のため、どちらかを偽装することが技術的に容易だ。

DMARC設定の実務ポイントを理解しよう。DMARCポリシーには3段階ある。p=none（監視のみ・処理に影響しない）→p=quarantine（失敗したメールをスパムフォルダに移動）→p=reject（失敗したメールを完全に拒否）。まずp=noneで自社ドメインからのメール送信状況を把握してから段階的にp=rejectに移行することが推奨される。

Google・Yahooは2024年2月から大量送信者（1日5,000通以上）に対してDMARC・DKIM・SPFの設定を必須化した。これにより対策が不十分なドメインから送られたメールはGmailやYahoo! Mailに届かなくなるリスクがある。ビジネスメールを大量送信する企業はこれらの設定が必須だ。

SPF・DKIM・DMARCは正規ドメインのなりすましを防ぐが、攻撃者は「見た目が似ている別のドメイン（example.com→examp1e.com）」を使ったルックアライクドメイン攻撃には対抗できない。ドメイン監視・従業員教育・ゼロトラスト認証との組み合わせが必要だ。

よくある誤解

SPF・DKIM・DMARCを設定していれば完全にスプーフィングを防げると思っている

SPF・DKIM・DMARCは正規ドメインのなりすましを防ぐが、攻撃者が見た目の似ている別ドメインを使うルックアライクドメイン攻撃には対抗できない。ドメイン監視・従業員教育・ゼロトラスト認証との組み合わせが必要だ。

メールスプーフィングはフィッシングと同じだと思っている

スプーフィングはメールの送信元を偽装する技術的な手法だ。フィッシングは偽サイトへ誘導して認証情報を窃取する攻撃の目的だ。スプーフィングはフィッシングの手段の一つとして使われることが多いが別の概念だ。

会話での使われ方

取引先のドメインから振込先変更の依頼メールが届きましたが、SPF・DKIMの認証に失敗しています。スプーフィングの可能性があるので電話で確認してください。

情報セキュリティ担当者がBEC攻撃の可能性を検知してメールの真偽確認を指示している場面。

自社ドメインのDMARCをp=noneで設定しました。まずレポートで自社からのメール送信状況を把握して、問題がなければp=quarantineに移行します。

IT管理者がDMARC設定の段階的な強化方針を説明している場面。

Google・Yahooが大量送信者にDMARC必須化しました。メルマガを送っているドメインのSPF・DKIM・DMARCの設定を確認してください。

マーケティング担当者がメール認証設定の緊急確認を依頼している場面。

【まとめ】3つのポイント

SMTPの構造的な脆弱性を突いて送信元を偽装するサイバー攻撃：ビジネスメール詐欺・フィッシング・マルウェア配布の初期手段として使われるスプーフィングへの対策としてSPF・DKIM・DMARCの3つを組み合わせて設定することがメールセキュリティの基本だ
SPFで送信IPを認証・DKIMで電子署名・DMARCで失敗時の処理ポリシーを設定：SPFは送信サーバーのIPアドレスを検証・DKIMはメールの電子署名を検証・DMARCは検証失敗時の処理を指定するという3層の認証がなりすましメール対策の標準的な実装だ
2024年以降Google・Yahooの大量送信者向けのDMARC必須化でメール認証は急務：1日5,000通以上のメールを送るドメインはSPF・DKIM・DMARCの設定が必須化されており未設定ではGmailやYahoo! Mailへのメール到達率が大幅に低下するリスクがある

よくある質問

Q SPF・DKIM・DMARCはどこで設定しますか？: A

ドメインのDNSレコードで設定します。SPFはTXTレコード・DKIMはTXTレコード・DMARCは_dmarc.ドメイン名のTXTレコードに設定します。

Q DMARCの設定を確認するツールはありますか？: A

MXToolbox・DMARC Analyzer・Mail-Testerなどの無料ツールでSPF・DKIM・DMARCの設定状況を確認できます。

Q なりすましメールを受信したらどうすればいいですか？: A

添付ファイルを開かない・リンクをクリックしない・メール内の連絡先に返信しない。正規の連絡手段で送信元に確認することが重要です。

Q メールスプーフィングとメールハッキングはどう違いますか？: A

スプーフィングは送信元を偽装する（アカウントに侵入せずに偽装できる）技術的な手法です。メールハッキングは実際にメールアカウントに不正侵入することです。

【出典】参考URL

https://www.ipa.go.jp/security/anshin/attention/2023/mgdayori20230126.html ：IPAのビジネスメール詐欺への注意喚起
https://support.google.com/a/answer/81126 ：GmailのSPF設定の公式ドキュメント
https://dmarc.org/ ：DMARC.org（DMARCの公式解説サイト）