2026.02.12 #お客様の質問にお答え!
【お客様の質問にお答え】“マジでもう無理なんだけど・・・” 手に負えない迷惑メール、どうすれば?
お客様との打ち合わせや、何気ない会話の中で、ふとした疑問やお悩みをいただくことがあります。
最近、複数のお客様からこんな相談が・・・
「近頃、うちの社長の名前で変なメールが届くんだけど・・・」
「取引先を装った詐欺メールが多すぎて、もう見分けられない・・・」
「スタッフには気をつけてって言ってるけど、正直限界あるよね・・・」
実は今、こうした「なりすましメール」による被害が全国で急増しています。
そして、その被害額は驚くべき規模になっています。
今回は、もはや“気をつける”だけでは防げないレベルになっている迷惑メール・なりすましメール対策について、タナカラができることをお伝えします。
全国で5億円超の被害!急増する「ニセ社長詐欺」
2026年1月、警察庁から衝撃的な発表が!
経営者や取引先になりすましたメールによる詐欺で、全国で39件の相談が寄せられ、うち16件で実際に被害が発生。被害総額は計約5億4,000万円。
Yahoo!ニュース「なぜ1億円の被害に!? ニセ社長詐欺の巧妙さに迫る」(2026年1月22日)
しかもこれは氷山の一角。2025年12月中旬以降のわずか1ヶ月で、全国の企業・自治体から600件を超える注意喚起が出されているそうです。
はてなブログ「LINEグループ作成を要求されるCEO詐欺メールについてまとめてみた」(2026年1月16日)
この規模、「異常なほどの多さ」だと専門家も指摘しているようです。
手口は巧妙化。もはや見抜くのは困難?
この「ビジネスメール詐欺(BEC / Business E-mail Compromise)」、何が怖いって、その巧妙さなんです。
典型的な手口はこんな感じ
- 社長を装ったメールが届く
「急ぎで対応してほしい」「LINEグループを作ってくれ」 - 業務指示に見せかけて信頼させる
最初はお金に関係ない依頼から始まるのがポイント - LINEでやり取りを続け、送金を指示
「至急、この口座に振り込んで」 - 気づいたときには手遅れ
数千万円が攻撃者の口座に・・・
そして何より厄介なのが、見た目が本物そっくりなこと。
差出人欄には会社の社長名が日本語で表示されていて、本物と全く同じです。
実は、攻撃者は全く別のアドレスから送っているのですが、この「表示名」だけを偽装しているんです。本当の送信元を確認するには、メールヘッダーという詳細情報を確認する必要があります。
ですが、この作業はパソコンでも面倒で、スマホではさらに難しい。。。
普段の業務メールを読む感覚では、まず気づけません。
タナカラにも届いています
実は、弊社タナカラにも、こうしたなりすましメールは頻繁に届いています。
- タナカラの代表アドレス(info@tanakara.jp)を装ったメール
- タナカラの代表である中村を装ったメール
- 取引先を装ったメール
幸い、弊社はワンフロアで全スタッフが揃っているオフィスなので、「こんなメール、来てますけど?」「いやいや送ってないよ(笑)」と、すぐに確認し合え、笑い話で済む環境です。
ですが、これが規模の大きい会社で、社長とすぐにコミュニケーションを取れる距離感ではない場合はどうでしょう?
経理担当者が「社長からの指示だ」と信じて、数千万円を振り込んでしまう・・・。
それも無理のないことだと思います。
「気をつける」だけではもはや限界に
もちろん、スタッフへの注意喚起や教育は大切です。
- 送金指示のメールが届いたら、必ず確認する
- 差出人のメールアドレスをよく確認する
- 「至急」「緊急」という言葉に惑わされない
でも、正直なところ、人間の注意力だけに頼るのはもはや限界なのでは・・・
メールの見た目は本物そっくり。差出人の名前も本物。さらに「至急対応」と書かれていたら、慌てて確認を怠ってしまうこともありえますよね。
そこで重要になってくるのが、技術的な対策なんです。
技術で防ぐ:SPF、DKIM、DMARC
なりすましメールを技術的に防ぐ仕組みがあります。それがSPF、DKIM、DMARCという3つの認証技術です。
難しそう?
大丈夫です。要するに「メールの身分証明」のようなものです。
- SPF(Sender Policy Framework)
「このドメインからメールを送信できるサーバーはこれです」と宣言する仕組み - DKIM(DomainKeys Identified Mail)
メールに電子署名をつけて、「このメールは改ざんされていません」と証明する仕組み - DMARC(Domain-based Message Authentication, Reporting and Conformance)
SPFとDKIMの結果を基に、「なりすましメールはどう扱うか(拒否する、迷惑メールフォルダに入れるなど)」を指定する仕組み
タナカラでの実践例
実は弊社も、膨大に届くなりすましメールに悩まされていました。
そこで、DMARCの設定を見直しました。
結果は劇的。なりすましメールをかなり排除することができています。
比較的新しいホスティングサーバーなら、最初からこうした設定がされていることもあります。ですが、長く使っているメールサーバーほど、設定が古いままの可能性が高いです。
特に10年以上同じサーバーを使っている場合は、一度確認してみる価値ありです。
メールサーバーの設定、確認できますか?
- 社長名・役員名を使ったメールが届いたことがある
- 10年以上同じメールサーバーを使っている
- メール設定を誰が管理しているかわからない
- DMARCという言葉を初めて聞いた
こんな方は、まずはメールサーバーの設定を確認してください。
ただし、こういった「設定がされているかどうか」と「正しく機能しているかどうか」は別問題です。
実際、設定済みでも効果が出ていない、一部のメールだけ失敗している、サーバー移転時に設定が外れていた、というケースも少なくありません。
TANAKARA CHECKUPでサポートします!
タナカラでは、ホームページの保守管理サービス「TANAKARA CHECKUP」をご提供しています。
このサービスでは、データのバックアップやアクセス解析だけでなく、セキュリティサポートを行うプランも用意しています。
通常はホームページに関するセキュリティがメインですが、「気をつけましょう」というレベルを超えている迷惑メール・なりすましメールのような、日常のお悩み・困りごとについての相談・コンサルティングも行っています。
ビジネスメール詐欺は、もはや個人の注意だけでは防げない時代になっています。
- 人的対策:スタッフへの教育・周知・確認
- 技術的対策:SPF、DKIM、DMARCの設定
この両輪が揃って、初めて効果的な対策になります。
「うちの会社のメールサーバー、設定は大丈夫なの?」
「なりすましメールが届いて困っている」
「TANAKARA CHECKUPについて詳しく知りたい」
そんな疑問やお悩みがあれば、お気軽にご相談ください。
あなたの会社を巧妙化する詐欺メールから守るお手伝いをします!
