【Gmail】社内ドメインに見える送信元が怪しい時の確認手順

社内ドメインから送信されたメールでも、表示名や返信先が巧妙に偽装されているケースが増えています。Gmailを利用している企業では、送信元アドレスが自社ドメインに見えても、実際は外部の攻撃者によるなりすましである可能性があります。このようなメールにうっかり返信したり、添付ファイルを開いたりすると、情報漏洩やマルウェア感染につながる恐れがあります。本記事では、Gmailで社内ドメインに見える送信元が怪しいと感じた場合の確認手順を、具体的な方法とともに解説します。

1. 社内ドメインに見える送信元が怪しい原因

社内ドメインのアドレスから届いたメールが怪しい場合、主に以下の原因が考えられます。一つ目は、攻撃者が送信元アドレスを偽装する「なりすまし」です。表示名だけを自社の社員名に変え、実際のメールアドレスは外部ドメインであるケースや、Fromヘッダを自社ドメインに書き換えて送信するケースがあります。二つ目は、自社のメールサーバーやGoogle Workspaceの設定に不備があり、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)が正しく機能していない場合です。この場合は正規のメールでも認証に失敗し、怪しい表示になることがあります。三つ目は、社内のアカウントが不正に乗っ取られ、内部から怪しいメールが送信されているケースです。いずれにしても、メールヘッダを確認して原因を特定する必要があります。

2. メールヘッダを確認する具体的な手順

Gmailでメールヘッダを確認する手順を以下に示します。これにより、送信元の真偽や認証結果を詳細に調べられます。

2-1. Gmailでメールの詳細(ヘッダ)を表示する方法

1. Gmailで該当メールを開きます。
2. メール右上の三点リーダー(その他)をクリックし、「メッセージのソースを表示」を選択します。
3. 新しいタブにメールヘッダの生データが表示されます。最初の数十行に認証結果や経路情報が含まれています。
4. 「From:」行の直後にあるメールアドレスが実際の送信元です。表示名に騙されないように注意してください。
5. 「Return-Path:」や「Reply-To:」が「From」と異なる場合、なりすましの可能性が高いです。

2-2. SPF、DKIM、DMARCの確認方法

メールヘッダの中に「Authentication-Results」という行があります。ここにSPF、DKIM、DMARCの各認証結果が記載されています。具体的には以下のように表示されます。

• SPF: 「spf=pass」または「spf=fail」と表示されます。passなら送信元IPがドメインのSPFレコードと一致しています。
• DKIM: 「dkim=pass」または「dkim=fail」と表示されます。passならメールが送信元ドメインの秘密鍵で署名されています。
• DMARC: 「dmarc=pass」または「dmarc=fail」と表示されます。passならSPFとDKIMの両方が合格し、ドメイン所有者のポリシーに合致しています。

2-3. 認証結果の読み方と判断基準

認証結果がすべて「pass」であれば、メールは正規の送信元から来ている可能性が高いです。ただし、自社ドメインでありながら「fail」になっている場合は、なりすましか設定ミスのどちらかです。たとえばSPFがfailでDKIMがpassの場合は、DKIM署名だけが有効でSPFレコードに問題がある可能性があります。また、DMARCがfailの場合は、ドメイン所有者が厳しいポリシーを設定しているにもかかわらず認証に失敗しているため、ほぼ確実に怪しいメールと判断できます。判断に迷う場合は、後述の表を参照してください。

3. このようなメールの特徴(怪しいメールの見分け方)

技術的な確認の前に、以下の特徴に当てはまるメールは特に注意が必要です。まず、件名や本文に緊急を装った文言(「至急確認」「アカウント停止」など)がある場合。次に、送信者名が経営層や管理部門を名乗っているが、メールアドレスが微妙に異なる場合(例:user@example.com のはずが user@examp1e.com)。また、添付ファイルやリンクの多いメール、文法や日本語が不自然なメールも怪しいです。さらに、普段送受信しない相手や、想定外の時間帯に送信されたメールも注意が必要です。これらの特徴に合致する場合は、メールヘッダを確認する前に、まずは開かずに削除または報告することを検討してください。

4. 状況別の比較表:なりすまし vs 正規メール vs 設定ミス

5. 確認後に取るべき行動と管理者への報告

5-1. 自分でできる対応

怪しいメールと判断した場合、まずは絶対に返信やリンククリック、添付ファイルのダウンロードをしないでください。Gmail上で「迷惑メールとして報告」または「フィッシングを報告」することが推奨されます。また、Gmailの設定で「転送とPOP/IMAP」を確認し、身に覚えのない転送ルールが設定されていないか確認してください。アカウントが乗っ取られている可能性がある場合は、すぐにパスワードを変更し、二段階認証を有効にします。ただし、会社のポリシーに従って行動することが重要です。

5-2. 管理者に伝えるべき情報

社内のIT管理者やセキュリティ担当者に報告する際は、以下の情報を伝えると迅速な対応が可能です。まず、怪しいメールの件名、送信日時、送信元アドレス(Fromヘッダの実際のアドレス)。次に、メールヘッダのコピー(特にAuthentication-Resultsの行)。さらに、認証結果がどのようになっているか。そして、自分がどのような行動をとったか(迷惑メール報告した、パスワード変更したなど)を伝えます。管理者はこれらの情報をもとに、組織全体でのフィルタリングルールの強化や、該当ドメインの設定確認を行うことができます。

6. 失敗パターンと再発防止策

多くのユーザーが陥りがちな失敗として、表示名だけを見て送信元を信頼してしまうことが挙げられます。例えば「田中太郎 」と表示されていても、実際のFromアドレスが「tanaka@attacker.com」であるケースに気づかず、返信してしまうという事例があります。また、認証結果が「pass」でも、正規のアカウントが乗っ取られている場合は危険です。そのため、普段からメールの内容に違和感があれば必ずヘッダを確認する習慣をつけることが再発防止につながります。さらに、組織としてSPF/DKIM/DMARCを適切に設定し、DMARCポリシーを「reject」にすることで、なりすましメールを配送前にブロックできます。ユーザー自身も、Gmailの「安全でないリンクに関する警告」や「機密モード」などの機能を活用すると良いでしょう。

7. よくある質問(FAQ)

Q1. 自社ドメインからメールが来たのにSPFがfailでした。絶対になりすましですか?
A. 必ずしもそうとは限りません。自社のメールサーバーがSPFレコードに含まれていない場合や、転送サービスを経由している場合にもfailになります。管理者にSPFレコードの設定を確認してもらってください。

Q2. 認証結果がすべてpassなのに、メールの内容が不審です。どうすればいいですか?
A. 正規のアカウントが乗っ取られている可能性があります。その場合は、送信元の社員本人に電話など別の手段で確認し、異常があればすぐに管理者に報告してください。

Q3. 迷惑メール報告してもいいですか?
A. Gmailで「迷惑メールとして報告」は問題ありませんが、組織のポリシーによっては内部で報告フローが決まっている場合があります。まずは管理者の指示に従ってください。

まとめ

社内ドメインに見える送信元が怪しいメールに遭遇した場合、まずはメールヘッダを確認してSPF、DKIM、DMARCの認証結果を調べることが重要です。認証に失敗している場合はなりすましの可能性が高いため、決して返信やリンククリックをせず、管理者に報告してください。また、認証が通っていても、内容が不審な場合はアカウント乗っ取りを疑いましょう。日頃からメールの基本的な確認手順を身につけておくことで、組織全体のセキュリティ向上に貢献できます。