【Gmail】添付ファイル付きの社内風メールが怪しい時の開封前チェック

会社のメールボックスに届く「至急確認」「案件資料」といった件名のメール。送信者が社内の上司や同僚を装い、添付ファイルが付いている場合、ついクリックしたくなります。しかし、こうしたメールはフィッシング詐欺やマルウェア感染を目的とした攻撃である可能性が高いです。特にGmailでは自動的に危険なメールを振り分ける機能がありますが、巧妙な偽装には完全に頼れません。本記事では、添付ファイル付きの社内風メールが怪しいと感じた時に、開封前に確認すべき具体的なチェックポイントを解説します。ひとつひとつ実践することで、誤った操作によるセキュリティ事故を防止できます。

なぜ社内風メールが危険なのか?

社内を装ったメールは、業務上の緊急性や信頼関係を悪用します。攻撃者は実在する人物の名前や部署を調べ、件名に「【至急】見積書確認」「【経理】振込先変更のお願い」などと記載して開封を促します。添付ファイルは、マクロ付きOffice文書や圧縮ファイル(.zip)に仕込まれた実行ファイル(.exe)であることが多く、一度開くとランサムウェアや情報漏洩につながります。Gmailは機械学習で多くのフィッシングメールをブロックしますが、巧妙なものはユーザーの受信トレイに届いてしまうため、利用者自身の目視確認が最後の防御線となります。

開封前の7ステップチェック

怪しいメールを受け取ったら、以下の手順で段階的に確認してください。全てのステップをクリアするまでは添付ファイルを開かないことが原則です。

1. 送信者アドレスを確認する:表示名だけではなく、実際のメールアドレスを確認します。Gmailではマウスオーバーするとアドレスが表示されます。社内のアドレスは通常「xxx@会社ドメイン.com」ですが、偽装メールは「xxx@会社ドメイン.com.xyz」のように似せている場合があります。末尾まで注意深く見てください。
2. 件名と本文の不自然さをチェックする:日本語の誤字・不自然な言い回し、急かす表現(「至急」「本日中」「対応しないと罰則」など)、汎用的な挨拶がない場合は警戒します。社内の取引先ならば名前や案件に言及するのが普通ですが、怪しいメールは「御中」「様」がなかったり、逆に過剰に丁寧だったりします。
3. 添付ファイルの拡張子を確認する:Gmailの画面では添付ファイルのアイコンとファイル名が表示されます。.exe、.vbs、.bat、.js、.scr、.jar、.msi、.cmdは明らかに危険です。.zipや.rarなどの圧縮ファイルも注意が必要で、内部に実行ファイルが含まれている可能性があります。.pdfや.docx、.xlsxなどもマクロが仕込まれているケースがあるため、信頼できる送信元でなければ開かないでください。
4. Gmailの警告表示を確認する:Gmailは危険なメールに「このメールは詐欺かもしれません」といった黄色いバナーを表示します。また、「安全でないファイルが添付されています」という表示があれば絶対に開いてはいけません。ただし、すべての攻撃メールに警告が出るわけではないので、警告がないから安全とは限らないことを理解してください。
5. ヘッダー情報を表示する:Gmailのメール詳細表示から「メッセージのソースを表示」を選びます。認証結果(SPF、DKIM、DMARC)が「pass」になっているか確認します。これらが「fail」や「softfail」の場合、送信元が偽装されている可能性が高いです。具体的な手順は後述します。
6. リンク先と添付ファイルのプレビューを利用する:怪しいメール内のリンクはクリックせず、リンク先のURLをマウスオーバーで確認します。添付ファイルも直接ダウンロードせず、Gmailのプレビュー機能で内容を確認できる場合があります(Office文書など)。プレビューで開いてもマクロは実行されないため、まずはプレビューで内容を確かめてください。
7. 社内の別ルートで確認する:メールの送信者と思われる人物に、電話やチャットツールで直接確認します。特に「至急」を装うメールほど、確認を怠らずに別の連絡手段で真偽を確かめてください。返信メールで確認するのは危険です。相手のアドレスが偽装されている場合、そこから再度攻撃を受ける可能性があります。

ヘッダー情報の詳細確認方法

Gmailでメールのヘッダー情報を表示するには、該当メールを開き、右上の三点メニュー(その他)→「メッセージのソースを表示」をクリックします。開いたページに「Authentication-Results」という行があり、spf、dkim、dmarcの結果が記載されています。それぞれ「pass」と表示されていれば正規の送信元である可能性が高いですが、同じドメインでも第三者による乗っ取りの場合はpassになることもあるため、総合的に判断します。dmarcが「fail」の場合はほぼ偽装です。

具体的な見方のポイント

「Received-SPF: pass」とあればSPFチェックを通過していますが、送信元IPが許可されていればpassになります。DKIMは「dkim=pass」、DMARCは「dmarc=pass」と表示されます。これらの結果がすべてpassであっても、送信者アドレスが正規ドメインかどうかを再度確認してください。また、Reply-To(返信先)アドレスが異なる場合も危険です。ヘッダー内の「Return-Path」と「From」アドレスが一致するかも確認項目です。

本物と偽物の違い:比較表

失敗しがちな判断ミスと実際の事例

多くの被害者は、業務の忙しさから確認を省略して添付ファイルを開いてしまっています。例えば、経理担当者が「振込先変更のお願い」というメールを受け取り、添付されたExcelファイルを開いたところ、マクロが実行されランサムウェアに感染したケースがあります。送信元アドレスは「注)会社ドメイン.com」と「注)」が追加されているだけの巧妙な偽装でした。また、取引先の実在担当者をかたったメールで、添付ファイルの内容を確認するために開いてしまった例も報告されています。

判断ミスの原因として、送信表示名だけを見てアドレスを確認しなかった、添付ファイルの拡張子を隠す設定(Windowsの「登録されている拡張子は表示しない」)により.exeを見落とした、Gmailの警告が表示されなかったから安全と誤認した、などが挙げられます。また、スマートフォンのGmailアプリではヘッダー情報が見づらく、つい開いてしまうこともあります。

管理者やセキュリティ担当に確認すべきこと

怪しいメールを受け取った場合、自分だけで判断せずに社内のセキュリティ管理者または情報システム部門に報告してください。報告時の注意点として、メールを転送すると添付ファイルも一緒に送られるため、スクリーンショットを撮って送るか、メールのソース(ヘッダー情報)をコピーして報告します。管理者は組織全体で同様の攻撃が行われていないか調査し、必要に応じてメールゲートウェイでのブロックルールを追加します。

また、自社のセキュリティポリシーで「添付ファイルの自動プレビューを無効にする」「マクロを無効にする」などの設定が可能かどうか確認しておくと良いでしょう。Gmailの管理コンソールから、特定の拡張子をブロックするルールを設定できる場合もあります。

よくある質問

Q: 添付ファイルを開いてしまいました。どうすれば良いですか?

すぐにデバイスをネットワークから切断し、管理者に連絡してください。マルウェア感染の可能性があるため、そのまま使い続けると情報漏洩や社内ネットワークへの拡散につながります。OSやセキュリティソフトの指示に従ってスキャンを行い、状況に応じて専門家の支援を受けてください。

Q: Gmailのスマホアプリでも同じチェックはできますか?

スマホアプリではヘッダー情報の確認が難しく、添付ファイルのプレビューも限定的です。怪しいメールはパソコン上で確認するのが安全です。やむを得ずスマホで確認する場合は、送信者アドレスと添付ファイルの拡張子を特に注意して見てください。

Q: 「このメールは詐欺かもしれません」という表示が出ませんでした。安全ですか?

いいえ、安全とは限りません。Gmailのフィルタリングは常に進化していますが、新しい手口や巧妙に偽装されたメールは検出をすり抜けることがあります。警告がなくても、上記のチェック項目を全て確認する癖をつけてください。

まとめ

添付ファイル付きの社内風メールは、見た目が本物そっくりであっても、送信元アドレスやヘッダー情報、添付ファイルの拡張子を確認することで危険性を見抜けます。Gmailの警告表示も重要な目安ですが、最終的には利用者自身の慎重な確認が欠かせません。確認の手間を惜しまず、少しでも怪しいと感じたら絶対に開かず、別ルートで送信者に確認する習慣を身につけてください。組織全体のセキュリティ向上のためにも、怪しいメールを発見したら速やかに管理者へ報告しましょう。