なりすましメールは、差出人を偽装して受信者を騙そうとする攻撃です。企業のメール環境では、取引先や社内のアカウントを装ったメールが届き、誤って返信や添付ファイルの開封をしてしまうリスクがあります。Gmailでは、メールヘッダーを確認することで、メールが本当に送信元を名乗るサーバーから送られたのかを検証できます。ただし、ヘッダーには専門用語が多く、初心者にはどこを見ればよいかわかりにくいものです。本記事では、なりすまし疑いがあるメールのヘッダーを確認するための具体的なポイントを、実際の業務に即して解説します。
【要点】この記事で確認すること
- 最初に見る場所: メールの「元のメッセージを表示」から「Authentication-Results」ヘッダーを確認します。ここにSPF、DKIM、DMARCの認証結果が記載されています。
- 切り分けの軸: 各認証がPassかFailか、またFromアドレスとReturn-Pathが一致しているかを確認します。特にFromとReturn-Pathの不一致はなりすましの強い兆候です。
- 注意点: 会社のメールシステムでは、管理者が独自の迷惑メールフィルターを設定している場合があります。勝手にメールを削除したり転送したりせず、まずは管理者に報告することが推奨されます。
ADVERTISEMENT
目次
なりすましメールのメールヘッダーとは
メールヘッダーは、メールの送信経路や認証情報が記録されたデータです。通常の受信トレイでは表示されませんが、Gmailでは「元のメッセージを表示」から閲覧できます。なりすましメールを見破るには、ヘッダー内の特に「Authentication-Results」セクションを解析します。このセクションには、SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)の三つの認証結果が含まれています。
これらの認証は、メールの送信元ドメインが正当なものであるかをチェックする仕組みです。SPFは送信サーバーのIPアドレス、DKIMは電子署名、DMARCはSPFとDKIMの結果に基づいてポリシーを適用します。いずれかがFailの場合、メールはなりすましの可能性がありますが、必ずしも悪意とは限りません。正規のメールでも設定ミスでFailになることがあるため、結果を総合的に判断する必要があります。
Gmailでメールヘッダーを表示する手順
まずは、Gmail上で対象のメールを開き、ヘッダーを表示する操作手順を説明します。以下の手順で行ってください。
- なりすましが疑われるメールを開きます。
- メールの右上にある三点リーダー(その他)をクリックします。
- 表示されたメニューから「元のメッセージを表示」を選択します。
- 新しいウィンドウが開き、ヘッダーとメール本文が表示されます。ヘッダー部分(上部)をすべて選択し、コピーします。
- コピーした内容をテキストエディタなどに貼り付けて保存するか、そのまま分析します。
コピーしたヘッダーは、そのまま管理者に共有することもできます。管理者はより詳細な分析が可能です。
確認すべき主要なヘッダー項目
Authentication-Results ヘッダー
このヘッダーは、受信サーバーがSPF、DKIM、DMARCの認証を行った結果を記録しています。具体的には次のような形式で表示されます。
例: Authentication-Results: mx.google.com; spf=pass (google.com: domain of sender@example.com designates 192.0.2.1 as permitted sender) smtp.mailfrom=sender@example.com; dkim=pass header.i=@example.com; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=example.com
ここで確認すべきは「spf=pass」「dkim=pass」「dmarc=pass」の部分です。いずれかが「fail」や「softfail」の場合は注意が必要です。ただし、すべてPassでもFromアドレスが異なるケースもあるため、次のFromとReturn-Pathの比較も重要です。
From ヘッダーと Return-Path ヘッダー
Fromヘッダーは受信者に表示される差出人アドレス、Return-Path(またはenvelope-from)は送信エンベロープのアドレスです。なりすましメールでは、Fromに有名企業のドメインを表示し、Return-Pathに攻撃者のドメインを設定することがよくあります。両者を比べてドメインが異なる場合は、なりすましの可能性が高いです。たとえば、From: support@paypal.com なのに Return-Path: attacker@evil.com となっていれば明らかに偽装です。
Received ヘッダー
メールが通過したサーバーの経路が記録されます。通常、一番上のReceivedが最終受信サーバーで、下に行くほど送信元に近づきます。なりすましメールの場合、送信元のIPアドレスが不明瞭だったり、複数のReceived行でドメインが矛盾することがあります。ただし、この確認は技術的な知識が必要なため、初心者はAuthentication-Resultsを優先するとよいでしょう。
比較表:認証結果の組み合わせによる判断の目安
| SPF | DKIM | DMARC | 可能性 |
|---|---|---|---|
| Pass | Pass | Pass | ほぼ正規メール。ただしFromとReturn-Pathの一致も確認。 |
| Pass | Fail | Fail | なりすましの可能性あり。添付ファイルやリンクに注意。 |
| Fail | Pass | Fail | なりすましの可能性あり。メール本文の不自然さも確認。 |
| Fail | Fail | Fail | ほぼ確実になりすまし。開かずに管理者へ報告。 |
ただし、上記はあくまで目安です。正規のメールでも一時的なサーバー障害や設定変更でFailになることがあるため、他の要素と合わせて判断します。
実際のヘッダー例を用いた見方
具体的な事例で確認しましょう。あるユーザーが「Amazon注文確認」と題するメールを受け取ったとします。Fromアドレスは order@amazon.co.jp、件名は「ご注文の確認」です。ヘッダーを表示したところ、Authentication-Resultsは次のようになっていました。
Authentication-Results: mx.google.com; spf=pass (google.com: domain of order@amazon.co.jp designates 203.0.113.5 as permitted sender) smtp.mailfrom=order@amazon.co.jp; dkim=fail header.i=@amazon.co.jp; dmarc=fail (p=REJECT sp=REJECT dis=NONE) header.from=amazon.co.jp
この場合、SPFはPassですがDKIMとDMARCがFailです。DMARCはDKIMもSPFも参照するため、DKIMのFailが原因でDMARCもFailになっています。FromとReturn-Pathはどちらも amazon.co.jp なので一見問題なさそうですが、なりすましの可能性は否定できません。実際、このメールは正規のAmazonではなく、送信サーバーがSPFに登録されたIPを不正に使用した攻撃メールでした。このように、DKIMのFailだけでも注意が必要です。
なりすましを見極める判断基準と失敗パターン
よくある失敗パターン
- Fromアドレスだけを信じる: 受信トレイに表示されるFromアドレスは簡単に偽装できます。ヘッダーのAuthentication-ResultsやReturn-Pathを見ずに判断すると、簡単に騙されます。
- SPFのみ確認する: SPFは通過しても、DKIMがFailのケースがあります。特にDMARCポリシーが厳しいドメインでは、SPFだけでは不十分です。
- すべてPassなら安全と考える: 正規のメールでも、送信元のドメインが正しく設定されていればPassになります。しかし、攻撃者が正規のメールサーバーを乗っ取った場合、すべてPassになり得ます。そのため、メール本文の不自然さ(挨拶がない、文法ミスが多い、急な要求など)も併せて確認します。
判断に迷った場合の行動
認証結果が曖昧な場合、以下の手順で対応します。
- メールの添付ファイルやリンクは絶対に開かない。
- メールを削除せずに、そのまま会社の情報システム部門やセキュリティ担当者に転送(またはヘッダーを添付して報告)する。
- 報告の際は、受信日時、件名、Fromアドレス、Authentication-Resultsの内容を伝えると、管理者が迅速に調査できます。
管理者へ報告すべき情報
なりすまし疑いメールを管理者に報告する際は、以下の情報を正確に伝えることが重要です。
- メールの元のメッセージ全体: Gmailの「元のメッセージを表示」からコピーした全文をテキストで提供します。これにより管理者はヘッダーと本文の両方を確認できます。
- 受信日時と件名: 管理者側でログと突き合わせるために必要です。
- あなたの対応状況: 「まだ開いていない」「添付ファイルは開いていない」など、被害の有無を明確にします。
管理者は、メールサーバーのログやドメインのSPF/DKIM設定を確認し、必要に応じてブロックリストに追加します。
よくある質問(FAQ)
Q1. Gmailで「このメールはなりすましの可能性があります」と警告が出た場合、ヘッダーを見る必要はありますか?
Gmailの警告はあくまで参考情報です。正確な判断にはヘッダー確認が必要です。警告が出たメールは、特に注意してヘッダーを確認し、認証結果を確かめてください。
Q2. ヘッダーを確認するのが面倒ですが、代替手段はありますか?
簡易的な方法として、メールの送信元ドメインが正しいかどうかを、ブラウザでそのドメインの公式サイトを開いて確認する方法があります。ただし、これはあくまで補助的な手段です。確実な判断にはヘッダー確認が推奨されます。
Q3. スマートフォンのGmailアプリでもヘッダーは確認できますか?
Gmailアプリでは「元のメッセージを表示」機能が提供されていない場合があります。その場合は、ブラウザからGmailにアクセスして確認するか、パソコンで確認することをおすすめします。
まとめ
なりすましメールのヘッダー確認は、SPF、DKIM、DMARCの認証結果とFromとReturn-Pathの比較が基本です。最初は専門用語に戸惑うかもしれませんが、重要な項目を押さえれば多くのケースで判断できるようになります。ただし、すべてのケースをユーザーが判断する必要はなく、疑わしい場合は管理者へ速やかに報告するのが安全です。
普段から正規メールのヘッダーを確認する習慣をつけると、異常に気づきやすくなります。また、会社のセキュリティポリシーに従い、メールの取り扱いには常に注意を払ってください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Gmail・Googleアカウントの人気記事ランキング
- 【Gmail】Googleからの本物のセキュリティ通知か見分ける方法
- 【Googleアカウント】本人確認が必要ですと出る時の端末と場所の確認
- 【Googleアカウント】Google Playだけログインできない時のアカウント確認
- 【Gmail】Gmailのカテゴリタブとラベルを使い分ける整理術
- 【Googleアカウント】パスキーでログインできない時の代替ログイン手順
- 【Googleアカウント】パスワードを忘れた時の再設定と注意点
- 【Googleアカウント】会社アカウントと個人アカウントを分けたい時の運用方法
- 【Googleアカウント】確認コードが届かない時の電話番号とメール確認
- 【Googleアカウント】共有PCにログイン情報を残した時の削除手順
- 【Googleアカウント】古い端末に残ったGoogleアカウントを安全に削除する方法