会社のGmailに「請求書を差し替えました」「添付ファイルを確認してください」といった件名のメールが届くことがあります。このメールは、取引先からの正規の連絡である場合もあれば、巧妙なフィッシング詐欺やビジネスメール詐欺(BEC)である可能性もあります。特に、差出人名や内容が実在の企業を装っている場合、見分けるのが難しいため、まずは落ち着いて確認する必要があります。本記事では、Gmailで請求書差し替えメールを受け取った際に、安全かつ確実に真偽を判断するための確認ルートを、ステップごとに解説します。
【要点】この記事で確認すること
- 最初に見る場所: 送信者アドレス(ドメイン)とメールヘッダーの認証結果(SPF/DKIM/DMARC)
- 切り分けの軸: 取引先との契約状況・過去のメールとの整合性・添付ファイルの有無と種類
- 注意点: 会社PCで添付ファイルを不用意に開かない。リンクをクリックする前に、Gmailのプレビュー機能や安全な方法で確認する。
ADVERTISEMENT
目次
そもそも「請求書差し替えメール」とは何か
請求書差し替えメールとは、取引先が送付済みの請求書を修正・再送する際に送るメールです。本来は「差し替え前の請求書は無効」という意味で使われます。しかし、攻撃者はこのビジネスシーンを悪用し、偽の請求書(マクロ付きファイルやリンク)を送りつけるケースが増えています。差し替えメールの特徴として、件名に「再送」「訂正」「差し替え」などの言葉が含まれ、添付ファイルとしてPDFやExcelファイルが付いてくることが多いです。正規の差し替えメールは、通常、すでに発行済みの請求書番号や取引内容に言及しているため、過去のメールと突き合わせることで確認できます。
正規の請求書差し替えと詐欺メールの違い
正規の差し替えメールは、あなたが取引のある企業から、あなたの担当者名や案件名を正しく記載して送られます。一方、詐欺メールでは、宛名が「御中」や「お客様」など汎用的だったり、本文に不自然な日本語や英語が混じっていることがあります。また、正規のメールは通常、会社のドメイン(例:@company.com)から送られますが、詐欺メールは微妙に異なるドメイン(例:@company.co、@company-support.com)を使用します。ただし、最近の攻撃では正規のドメインを乗っ取ったり、表示名だけを偽装する手法もあるため、表示名だけを信用してはいけません。
まず落ち着いて確認すべき5つのポイント
メールを受け取ったら、次の手順で確認してください。慌てて添付ファイルを開いたりリンクをクリックする前に、以下の5項目をチェックすることでリスクを大幅に減らせます。
- 送信者アドレスを確認する: Gmailのウェブ版では、差出人名の上にマウスを合わせるか、メールを開いて「返信」ボタンの横の「…」から「メッセージのソースを表示」を選びます。そこに表示されるFromアドレスが、普段取引先が使うドメインと一致するか確認します。例えば「@example.com」のはずが「@examp1e.com」のような置き換えがないか注意します。
- メールヘッダーの認証結果を確認する: メッセージのソースを表示し、「Authentication-Results」の行を探します。「spf=pass」「dkim=pass」「dmarc=pass」の3つすべてがpassになっているかを確認します。一つでもfailやsoftfailがある場合は、なりすましの可能性が高いため、添付ファイルを開かずに管理者へ報告します。
- 取引の有無を確認する: メールに記載された請求書番号や案件名が、現在進行中の取引と合致するか調べます。身に覚えのない請求書や、過去に発注した覚えのない内容であれば、まず疑います。
- 添付ファイルの種類と拡張子を確認する: Gmailでは、添付ファイルが.zip、.exe、.jsなどの実行ファイルやマクロを含む可能性があるファイルは警告が表示されます。PDFやOfficeファイル(.docx、.xlsx)でも、マクロが埋め込まれている場合は危険です。Gmailのプレビュー機能(ブラウザ上で表示)を使えば、ファイルを開かずに中身を確認できます。
- リンク先URLを確認する: メール本文に「こちらから請求書をダウンロード」などのリンクがある場合、リンクにマウスを合わせて実際のURLを表示させます。URLが正規の企業ドメイン(https://www.company.com/…)で始まっているか、不自然なリダイレクトがないかを確認します。短縮URL(bit.lyなど)は特に注意が必要です。
状況別の対応方法
| 状況 | 取るべき行動 | 判断基準 |
|---|---|---|
| 送信者アドレスが正規ドメインで、認証結果がすべてpass | 取引先に電話または別の手段で確認してから、添付ファイルを開く | ドメイン一致+認証pass+取引実績あり |
| 送信者アドレスが似ているが異なるドメイン(例:.co→.com) | 絶対に開かず、管理者に報告する。社内のセキュリティポリシーに従う | ドメイン不一致、または認証fail |
| 取引に身に覚えがないが、認証はpass | メールは削除せず、管理者に転送して判断を仰ぐ。自分で開かない | 認証passでも取引履歴なし |
| 添付ファイルがマクロ付きOfficeファイルや.zip | 開かずに管理者に報告。取引先に電話で確認する | ファイル拡張子が危険、または警告表示あり |
| リンク先URLが正規ドメインではない、または短縮URL | クリック禁止。URLをコピーして管理者に送る | URLドメイン不一致、短縮サービス使用 |
実際に届いたメールの判断基準
具体例として、以下のようなメールが届いた場合を考えます。
【件名】請求書の差し替えのお願い(株式会社ABC)
【送信者】サポート
【本文】平素よりお世話になっております。先日送付した請求書に誤りがありましたので、差し替えをお送りします。添付のPDFをご確認ください。なお、以前の請求書は破棄してください。
このメールが正規かどうか判断するには、以下のチェックを行います。
- 送信者アドレス:@abc-company.com。実際の取引先のドメインは@abc.co.jpだとすれば、異なります。
- 認証結果:メッセージのソースを表示し、Authentication-Resultsを確認します。もしspf=failならば、なりすましの可能性が高いです。
- 取引の有無:現在、株式会社ABCとの取引があるかどうか。取引がない場合はほぼ詐欺です。
- 添付ファイル:PDFと書いてあるが、実際の拡張子が.pdfかどうか。Gmailのプレビューで表示できるか試します。表示できない場合や、実行ファイルの場合は危険です。
このように、複数の観点から総合的に判断します。疑わしい場合は、開かずに管理者へ報告し、取引先に別の連絡手段(電話やチャット)で確認を取ることが確実です。
添付ファイルの安全な確認方法
どうしてもファイルの中身を確認したい場合、Gmailのプレビュー機能を使うことをおすすめします。メールを開き、添付ファイルのサムネイルをクリックすると、ブラウザ上でPDFや画像ファイルを直接表示できます。この方法では、ファイルが実際にダウンロードされないため、マクロやウイルスが実行されるリスクは低いです。ただし、プレビューでも悪意のあるコードが動作する可能性は完全には否定できないため、信頼できないメールのプレビューも避けるのが賢明です。
失敗パターンとその防止策
実際に発生した典型的な失敗パターンと、その防止策を紹介します。
- パターン1:表示名だけを見て信用した – 送信者表示名が実在の取引先担当者名だったため、アドレスを確認せずに添付ファイルを開いてしまい、ランサムウェアに感染した。防止策:常に送信者アドレスのドメインを確認し、認証結果をチェックする習慣をつけます。
- パターン2:取引先のメールアカウントが乗っ取られていた – 正規のドメインから届いたが、実はアカウントが乗っ取られていた。この場合、認証結果はpassになります。防止策:普段と異なる文言や添付ファイルの傾向がないか注意し、少しでも不自然なら電話で確認します。
- パターン3:添付ファイルを開いた後に異変に気づいた – ファイルを開いてから「変だ」と思っても、すでにマルウェアに感染している可能性があります。防止策:ファイルを開く前に、Gmailのセキュリティチェック(添付ファイルのスキャン)が完了しているか確認します。また、社内のファイル共有サーバーにアップロードしてから開くなどのルールを設けると安全です。
- パターン4:リンクをクリックして偽のログインページに誘導された – 請求書ダウンロードと称したリンクをクリックし、Googleアカウントのログイン情報を入力してしまった。防止策:リンクをクリックする前にURLを確認し、正規のGoogleドメイン(accounts.google.com)かどうか確認します。二段階認証を有効にしておくことも有効です。
管理者に伝えるべき情報
万一、怪しいメールを受け取った場合や、うっかり添付ファイルを開いてしまった場合は、速やかに管理者(情報システム部門やセキュリティ担当者)に報告してください。報告時には以下の情報を含めると、迅速な対応が可能になります。
- メールの件名と送信者アドレス – 文字列のコピーではなく、メッセージのソース全体を転送するのがベストです。ただし、添付ファイルは転送しないでください(拡散を防ぐため)。
- 受け取った日時 – 内部のログ調査に役立ちます。
- 添付ファイルの有無と種類 – ファイル名と拡張子を報告します。
- 自分が行った操作 – 開いたかどうか、リンクをクリックしたかどうか、その後のPCの挙動に異常がないか。
- 関連する取引先の情報 – 取引先名や普段の連絡手段。
管理者はこれらの情報をもとに、メールの真偽を解析し、必要であれば全社的な注意喚起やメールフィルタの強化を行います。自分だけで判断せず、報告する文化を徹底することが重要です。
よくある質問
Q1: 身に覚えのない請求書差し替えメールが届きました。どうすればよいですか?
A1: まずは上記の5つのポイントを確認してください。その上で、取引先に直接電話して確認するのが最も確実です。電話番号は過去のメールや会社の公式サイトから調べ、メール本文に記載された番号は使わないようにしてください。
Q2: すでに添付ファイルを開いてしまいましたが、PCが正常に動いています。大丈夫ですか?
A2: 即座にPCをネットワークから切断し、管理者に報告してください。ウイルスが潜伏している可能性があります。社内のセキュリティ部門に指示を仰ぎ、スキャンや初期化などの対応を行ってください。
Q3: Gmailのプレビューで表示できたので安全だと思って開きましたが、問題ありますか?
A3: プレビューで表示できたからといって完全に安全とは限りません。特にOfficeファイルのプレビューではマクロが動作しない仕様ですが、PDFのプレビューでJavaScriptが実行される事例もあります。やはり、取引先に確認してから開くことをおすすめします。
Q4: 会社のポリシーで添付ファイル付きメールはすべて検査されるので、開いても大丈夫ですか?
A4: セキュリティ検査は通過する可能性がありますが、ゼロデイ攻撃や検知を回避する技術を使われることもあります。検査があるからといって、すべて安全とは言えません。特に差し替えメールは緊急性を装うため、注意が必要です。
まとめ
Gmailで請求書差し替えメールが届いたら、まずは落ち着いて送信者アドレスと認証結果を確認しましょう。表示名やメールの体裁だけを信用せず、取引先との契約状況や過去のメールと突き合わせることが重要です。添付ファイルやリンクは、安全が確認できるまでは開かないでください。疑わしい場合は、取引先へ電話確認するか、管理者へ報告して指示を仰ぎます。この確認ルートを習慣化することで、ビジネスメール詐欺の被害を防ぐことができます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Gmail・Googleアカウントの人気記事ランキング
- 【Gmail】Googleからの本物のセキュリティ通知か見分ける方法
- 【Googleアカウント】本人確認が必要ですと出る時の端末と場所の確認
- 【Gmail】Gmailのカテゴリタブとラベルを使い分ける整理術
- 【Googleアカウント】パスキーでログインできない時の代替ログイン手順
- 【Googleアカウント】Google Playだけログインできない時のアカウント確認
- 【Googleアカウント】パスワードを忘れた時の再設定と注意点
- 【Googleアカウント】会社アカウントと個人アカウントを分けたい時の運用方法
- 【Googleアカウント】確認コードが届かない時の電話番号とメール確認
- 【Googleアカウント】共有PCにログイン情報を残した時の削除手順
- 【Googleアカウント】古い端末に残ったGoogleアカウントを安全に削除する方法