【Gmail】社内メールに見える不審メールを受け取った時のヘッダー確認

会社のGmailで、同僚や上司を装った不審なメールを受け取ったことはありませんか。特に社内からのメールに見えても、実際は外部の攻撃者によるなりすましであるケースが増えています。本文に不自然な日本語や、普段と異なる依頼内容があれば危険ですが、見た目だけでは判断が難しい場合もあります。この記事では、Gmailのメールヘッダーを確認して、送信元が本当に社内かどうかを調べる方法を解説します。発信元の検証や、管理者へ報告すべきポイントも盛り込みました。

不審メールを見分けるために必要なヘッダー情報

メールヘッダーは、送信元や経路が記録されたデータです。GmailではWeb版・モバイルアプリの両方で確認できます。特に重要なのは、以下の3つの認証方式の結果です。

• SPF(Sender Policy Framework):送信元IPアドレスが、そのドメインの管理者が許可したサーバーかどうかを検証します。
• DKIM(DomainKeys Identified Mail):メールに電子署名が付与され、改ざんがないかを確認します。
• DMARC(Domain-based Message Authentication, Reporting & Conformance):SPFとDKIMの結果をもとに、ドメインの所有者が定めたポリシーに従ってメールの扱いを判断します。

これらの認証がすべてPASSであれば、そのメールは正規の送信元から届いた可能性が高いです。ただし、社内システムの設定によっては、一部の認証がPASSしない正常なメールもあるため、総合的に判断する必要があります。

Gmailでメールヘッダーを表示する具体的な手順

ヘッダーを確認するには、Gmailの「メッセージの詳細」を開きます。手順は以下の通りです。

1. GmailのWebブラウザ(またはモバイルアプリ)で不審なメールを開きます。
2. 右上の三点リーダー(その他)アイコンをクリックします。
3. 「メッセージの詳細」を選択します。モバイルアプリの場合は「メッセージの詳細を表示」をタップします。
4. 表示されたポップアップで「オリジナルを表示」をクリックします。すると、ヘッダー情報がテキストで表示されます。
5. ヘッダー情報をコピーして、テキストエディタに貼り付けると見やすくなります。

特に重要な行は「Authentication-Results」と「Received-SPF」「DKIM-Signature」「ARC-Authentication-Results」です。これらを探して、PASS/FAILの状態を確認してください。

認証結果の読み方と判断基準

実際のヘッダー情報を例に、見るべきポイントを解説します。以下は架空のGmailヘッダーの一部です。

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of sender@example.com designates 192.0.2.1 as permitted sender) smtp.mailfrom=sender@example.com;
       dkim=pass header.i=@example.com;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=example.com

上記の場合、SPF、DKIM、DMARCすべてがPASSしています。これで「example.com」から送られた正当なメールである可能性が高いです。一方、以下のようなFAILがある場合は注意が必要です。

Authentication-Results: mx.google.com;
       spf=neutral (google.com: 192.0.2.2 is neither permitted nor denied by domain of sender@corp.example.com)
       dkim=fail (signature did not verify)
       dmarc=fail (p=REJECT sp=REJECT dis=QUARANTINE) header.from=corp.example.com

DMARCがFAILの場合、そのメールはなりすましであるか、何らかの理由で認証に失敗しています。特にfromアドレスが社内ドメインなのにDMARCがFAILなら、ほぼ間違いなく不正なメールです。

認証結果の組み合わせ	判断
SPF PASS + DKIM PASS + DMARC PASS	正規メールの可能性が高い。ただし、社内のメールサーバー経由でない場合もあるので注意。
SPF PASS + DKIM FAIL + DMARC FAIL	なりすましの可能性が高い。DMARCポリシーがquarantine/rejectなら、迷惑メールフォルダに振り分けられる。
SPF FAIL + DKIM PASS + DMARC FAIL	送信元IPが許可されていない。なりすましの可能性が高い。
SPF FAIL + DKIM FAIL + DMARC FAIL	ほぼ確実に不正メール。開封せずに削除し、管理者に報告する。

よくある失敗パターンと対処法

パターン1: ヘッダーを最後まで読まずに「From」アドレスだけで判断

多くの人は「From: 田中太郎 」と表示されているだけで信用してしまいます。しかし、Fromアドレスは簡単に偽装できます。実際にヘッダーの「Return-Path」や「Sender」フィールドが異なるアドレスになっていないか確認してください。例えば、Return-Pathが「evil@gmail.com」などになっている場合はなりすましです。

パターン2: 「社内メールなのに認証がFAIL」と自動的に疑わない

社内の正規メールでも、設定ミスでSPFやDKIMがFAILになることがあります。特にメール転送を経由した場合や、古いシステムからのメールでは認証を通らないケースがあります。その場合は、送信元IPアドレスが社内の範囲かどうかを追加で確認します。たとえば、社内のIPレンジが「203.0.113.0/24」で、ヘッダーのReceived from IPが「203.0.113.5」であれば社内からの可能性が高まります。

パターン3: 添付ファイルやリンクをクリックしてしまう

ヘッダー確認前に添付ファイルを開いたりURLをクリックすると、マルウェア感染のリスクがあります。ヘッダーを確認するまでは、本文のリンクや添付ファイルには触れないでください。もし誤ってクリックした場合は、すぐに社内のセキュリティ担当者に報告し、指示を仰いでください。

管理者へ伝える情報と報告すべき内容

不審メールを受け取ったら、速やかに管理者に報告しましょう。その際、以下の情報を伝えると解析がスムーズになります。

• 不審メールのヘッダー情報(オリジナルメッセージの全文)
• 受信した日時と件名
• メールに添付されていたファイル名やリンク先URL(クリックしたかどうかも含む)
• 自分の部署名と連絡先

管理者はこれらの情報をもとに、自社ドメインの認証設定に問題がないか、また他の社員にも同様のメールが届いていないかを調査します。もし自社のDMARCポリシーが「none」のままだと、なりすましを防ぎにくくなります。管理者はDMARCポリシーを「quarantine」や「reject」に引き上げることを検討すべきです。

よくある質問(FAQ)

Q1: Gmailの「迷惑メール報告」ボタンを使えばいいですか?

はい、社内ポリシーに従って迷惑メール報告を行ってください。ただし、それだけでは管理者に詳細が伝わらないため、別途ヘッダー情報を添えて報告することをおすすめします。

Q2: 認証がすべてPASSでも、不審な内容のメールがあります。どうすれば?

認証がPASSでも、アカウントが乗っ取られている可能性があります。その場合は、そのメールを転送せずに管理者に報告し、送信元のアカウントを確認してもらいましょう。

Q3: ヘッダー情報を確認する際に注意すべき点はありますか?

ヘッダーは攻撃者によって一部改ざんされる可能性がありますが、Gmailの認証結果(Authentication-Results)はGoogleのサーバーで記録されるため、比較的信頼できます。ただし、古いヘッダーフィールドは偽装されている場合もあるので、Receivedチェーンも確認すると良いでしょう。

まとめ

社内メールに見える不審メールを受け取ったら、まずはGmailのヘッダー情報を確認し、SPF・DKIM・DMARCの認証結果をチェックしてください。すべてPASSであれば正規メールの可能性が高いですが、本文の内容や送信元IPアドレスも合わせて判断します。認証にFAILがある場合は、なりすましを疑い、絶対にリンクや添付ファイルを開かず、管理者にヘッダー情報を添えて報告しましょう。日頃からこのような手順を身につけておくことで、組織全体のセキュリティ向上に貢献できます。

✉️

Gmail・Googleアカウントトラブル完全解決データベース 送受信エラー/迷惑メール対策/容量整理/ラベル・自動振り分け/アカウント復旧/2段階認証/スマホ同期/転送・複数アカウントのトラブルを即解消。GmailとGoogleアカウントの実務リファレンスとしてご活用ください。