近年、取引先を装った振込先変更メールによる詐欺被害が急増しています。会社の経理担当者や取引先とのやり取りが多い方は、特に注意が必要です。この記事では、Gmailで振込先変更メールを受信した際に、それが本物か偽物かを切り分ける具体的な確認フローを解説します。慌てて対応する前に、必ずこのフローに沿って確認を行ってください。
【要点】この記事で確認すること
- 最初に見る場所: 送信元メールアドレス、メール本文の文体や署名、リンク先URL
- 切り分けの軸: メールの内容が本当に取引先からかどうか、電話番号の信頼性
- 注意点: メール内のリンクや添付ファイルは絶対に開かないこと、既存取引先の正式な電話番号で確認すること
ADVERTISEMENT
目次
なぜ振込先変更メールに注意が必要か
振込先変更を装うフィッシング詐欺は、企業間取引を狙った巧妙な手口です。攻撃者は取引先のメールアカウントを乗っ取り、またはなりすましメールを送信し、受信者に新しい口座番号を記載したメールを転送させます。実際に、国内でも多額の被害が報告されており、一度誤って振り込んでしまうと、資金の回収は極めて困難です。そのため、メールを受け取った段階で正しい判断ができるかどうかが、被害を防ぐ鍵となります。
GmailはGoogleの強力なスパムフィルターを備えていますが、なりすましメールがすべてブロックされるわけではありません。送信元ドメインが巧妙に偽装されている場合や、正規の取引先アカウントが乗っ取られた場合は、受信トレイに直接届く可能性があります。したがって、メールの内容だけを信用せず、複数の観点から検証する習慣が重要です。
振込先変更メールを受信した直後に取るべき行動
メールを開封したら、まずは落ち着いて以下の緊急対処を実施してください。これらの行動は、被害を未然に防ぐための最小限のステップです。
- リンクや添付ファイルをクリックしない:メール内のURLや添付ファイルは、マルウェア感染やフィッシングサイトへの誘導に使われる可能性があります。絶対に開かないでください。
- メールを社内のセキュリティ担当者に転送する:自社でフィッシング対策をしている場合は、速やかに報告し、分析を依頼します。
- メールを印刷またはスクリーンショットで保存する:後で調査するために、メールのヘッダー情報も含めて保存しておくと役立ちます。
- 取引先の既存の電話番号に連絡する:過去のやり取りで使っていた正式な電話番号(メール本文に書かれている番号ではない)に電話し、変更の有無を直接確認します。
- 社内の承認フローを確認する:振込先変更には通常、複数名の承認や所定の手続きが必要です。ルールに沿って進められているか再確認してください。
これらの行動をとることで、仮にメールが詐欺であった場合でも、被害を最小限に抑えられます。特に電話確認は最も確実な方法です。
メールの真偽を判断する具体的なチェックポイント
メールの内容を詳細に分析し、怪しい点がないかを確認します。以下の5つのポイントを順にチェックしてください。
1. 送信元メールアドレスを確認する
Gmailでメールを開き、送信者名の横に表示される「詳細」をクリックすると、実際の送信元アドレスが確認できます。正規の取引先であれば、会社のドメイン(例:@company.co.jp)と一致するはずです。フリーメール(@gmail.com、@yahoo.co.jpなど)や、一見似ているが微妙に異なるドメイン(例:@company.com ではなく @cornpany.com)は詐欺の可能性が高いです。
2. メール本文の文体や署名に不自然さがないか
普段取引している相手であれば、メールの文体や署名はおおよそ決まっています。急に丁寧すぎる、またはカジュアルすぎる、日本語の誤りが多い、署名のデザインが異なるなどの変化があれば注意してください。また、振込先変更の連絡は通常、書面や電話でも案内されることが多いため、メールだけでの変更依頼は稀です。
3. リンク先URLを検証する
メール内に「こちらから新しい口座情報を確認してください」といったリンクがある場合、リンクにマウスをかざすと(クリックせずに)ステータスバーやツールチップでURLが表示されます。表示されたURLが正規の取引先のドメインと一致しているか、不自然な文字列が含まれていないかを確認します。また、「http」ではなく「https」であることもひとつの目安ですが、詐欺サイトもhttpsに対応しているため、絶対的な判断基準にはなりません。
4. 添付ファイルの有無と内容
振込先変更の案内にPDFやExcelファイルが添付されている場合があります。しかし、正規の取引先が添付ファイルで口座情報を送ることはあまりありません。特に「請求書」や「変更通知」というファイル名でマクロ付きのOfficeファイルが添付されている場合は、マルウェア感染を狙ったものなので絶対に開かないでください。
5. 差出人のドメイン認証情報を確認する
Gmailでは、メールヘッダーにSPF、DKIM、DMARCの認証結果が表示されることがあります。これらの認証に失敗しているメールは詐欺の可能性が高いです。ヘッダーの確認方法は少し難しいですが、Gmailの「メッセージのソースを表示」から確認できます。認証にパスしていても、正規アカウントの乗っ取りの可能性もあるため、これだけで信用してはいけません。
実際の取引先からの変更かどうかを確認する電話確認手順
電話確認は、振込先変更の真偽を確かめる最も信頼できる方法です。ただし、メール本文に記載された電話番号を使うと、詐欺師に直接つながる危険があります。必ず過去の名刺や取引先から以前もらった資料に記載された番号、または自社の取引先管理台帳に登録されている番号にかけてください。
- 電話をかける前に、誰に連絡すればよいかを確認する:取引先の担当者名がメールに書いてある場合、その人に直接確認するのが理想です。ただし、その担当者が乗っ取られている可能性もあるため、別の担当者(経理や総務)に確認することも検討します。
- 電話をかける:自社で管理している正当な電話番号に電話し、メールを受け取ったことを伝えます。そして、振込先変更の依頼があったかどうかを尋ねます。
- 変更内容を口頭で伝えてもらう:実際に変更がある場合は、新しい口座情報を口頭で教えてもらい、メールの内容と突き合わせます。メールのみで変更を依頼することはないと確認できれば、詐欺の可能性が高いです。
- 折り返し電話を依頼する:相手が名乗ったとしても、一度電話を切り、自社が把握している代表電話番号にかけ直すことで、なりすましを防げます。
- 確認結果を記録に残す:電話確認が取れた場合は、その日時、相手の名前、確認内容を社内のシステムやメールに記録しておきます。後日の証拠として役立ちます。
比較表:正規メールと詐欺メールの見分け方
| 項目 | 正規メールの特徴 | 詐欺メールの特徴 |
|---|---|---|
| 送信元アドレス | 取引先の正式ドメインと一致する。表示名とアドレスが矛盾しない。 | フリーメールや似せたドメイン(例:@company.com → @cornpany.com)。表示名は有名企業だがアドレスは無関係。 |
| メール本文 | 普段の取引と同じ文体、敬語、署名。誤字脱字が少ない。 | 不自然な日本語、異様に丁寧または乱暴、署名のデザインが違う、ロゴが小さい。 |
| リンクURL | 取引先の正規ドメインのURL(例:https://login.company.com)。 | 不自然なドメイン、数字や記号が含まれる、短縮URLなど。 |
| 添付ファイル | 基本的に添付なし。必要な場合でも過去の取引と同形式。 | .zip、.exe、.docmなどマクロ付きファイル。無闇に添付されている。 |
| 差出人認証 | SPF、DKIM、DMARC認証に合格していることが多い。 | 認証に失敗、または認証情報が不完全。 |
| 緊急度 | 急ぎでなくとも、事前に連絡があることが多い。 | 「至急」「本日中」などと急かす。期限を設けて注意をそらす。 |
よくある失敗パターンとその回避方法
実際の現場では、以下のような失敗が報告されています。これらのパターンを事前に知っておくことで、同じミスを防げます。
- メールのリンクをクリックしてしまった:被害者の多くは「確認のため」と称してリンクをクリックし、フィッシングサイトでIDやパスワードを入力してしまいます。回避策として、メール内のリンクは一切クリックせず、ブラウザのブックマークから直接アクセスする習慣をつけてください。
- メール本文の電話番号にそのまま電話した:詐欺メールには偽の問い合わせ先が書かれており、電話すると犯人が対応し、口座変更を促されます。必ず過去の実績のある番号にかけてください。
- 上司や同僚に転送する前に自分で判断しようとした:一人で判断すると、時間的プレッシャーから誤った決断をしがちです。まずは社内のセキュリティ担当者や直属の上司に共有し、複数人で確認するルールを徹底しましょう。
- メールのヘッダーを確認せずに信用した:Gmailのデフォルト表示だけでは詐欺メールを見抜けないことがあります。ヘッダー情報まで確認する習慣がないと、見逃しやすいです。
社内での報告・再発防止策
万が一、詐欺メールに気づかずに振り込んでしまった場合、すぐに社内の管理部門と金融機関に連絡してください。また、詐欺メールを受信した事実は、社内のセキュリティインシデントとして記録し、他の社員と情報共有することが重要です。再発防止のためには、以下の取り組みが有効です。
- 定期的なセキュリティ研修の実施:振込先変更詐欺の手口を社員全員が理解し、怪しいメールの見分け方を訓練します。
- 振込先変更手続きのルール化:メールだけで変更を受け付けず、必ず電話確認と書面での申請を義務付けるなど、プロセスを厳格化します。
- Gmailの高度なフィルタリング設定:Google Workspace管理者が、なりすましメールを自動で隔離するポリシーを設定することも検討してください。
- 不審なメールの報告窓口を設置:社員が迷ったときにすぐ相談できる専用の連絡先(メールアドレスやチャット)を用意します。
よくある質問
Q1: メールのリンクをクリックしてしまいました。どうすればよいですか?
すぐに社内のセキュリティ担当者に連絡し、指示を仰いでください。可能であれば、その端末をネットワークから切り離し、パスワードを変更します。また、クレジットカード情報やログイン情報を入力した場合は、該当するサービスのパスワードを直ちに変更し、不正利用がないか監視します。
Q2: 取引先に電話したら担当者が不在でした。どう対応すればよいですか?
担当者の直接の番号ではなく、取引先の代表電話にかけ直し、経理部門や総務部門に振り替えてもらって確認してください。また、折り返しの電話を依頼する場合は、相手が名乗った番号にかけるのではなく、自分から代表電話にかけるようにします。確認が取れるまでは、決して振込手続きを進めないでください。
Q3: 普段取引していない会社から振込先変更のメールが届きました。どうすれば?
まったく取引のない会社からの変更メールは、ほぼ100%詐欺です。開封せずに削除するか、セキュリティ担当者に転送してください。取引がある会社でも、先方の名簿に載っていないアドレスからの突然の変更連絡は警戒してください。
まとめ
振込先変更メールを受信したら、まずリンクをクリックせず、電話で確認することが最も重要です。確認の際は、メール本文に書かれた電話番号ではなく、過去の取引で使っていた正当な番号を使用してください。Gmailの送信元アドレスやヘッダー認証も有効な判断材料ですが、最終的には人による確認が信頼性を高めます。社内でルールを徹底し、定期的な教育を行うことで、組織全体のセキュリティ意識を向上させましょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Gmail・Googleアカウントの人気記事ランキング
- 【Gmail】Googleからの本物のセキュリティ通知か見分ける方法
- 【Googleアカウント】本人確認が必要ですと出る時の端末と場所の確認
- 【Googleアカウント】Google Playだけログインできない時のアカウント確認
- 【Gmail】Gmailのカテゴリタブとラベルを使い分ける整理術
- 【Googleアカウント】パスキーでログインできない時の代替ログイン手順
- 【Googleアカウント】パスワードを忘れた時の再設定と注意点
- 【Googleアカウント】会社アカウントと個人アカウントを分けたい時の運用方法
- 【Googleアカウント】確認コードが届かない時の電話番号とメール確認
- 【Googleアカウント】共有PCにログイン情報を残した時の削除手順
- 【Googleアカウント】古い端末に残ったGoogleアカウントを安全に削除する方法