月額不要!DMARC導入を完全サポート
基本情報
【非エンジニア向けコラム】
ドメインの未来を守る
〜DMARC超入門〜
お問い合わせ
ウチのドメインがフィッシングメールのなりすましに使われた!被害実例を公開

(2025年11月11日)

前回のコラムでは、昨今見聞きするDMARCの現在位置について解説しました。

Web界隈の常時SSL化対応に苦労した10年前になぞらえ、メールの世界でも包囲網が形成されてきていて、将来ほぼ全てのドメイン保有者がDMARC対応を迫られるだろうという見解を述べました。

コラムの最後に、

どんなインターネット犯罪が背景にあり、なぜ「DMARC導入してねー」と圧力がかかり始めているのか、具体的な被害例をご紹介してDMARCの役割を解説したいと思います。

と書いていた通り、今回のコラムでは具体的な被害事例を紹介します。「DMARC考えた人、賢いな!」と感想を持って頂けるかも知れません。

では始めましょう。

DMARCの定義の説明は、なんと今回コラムでも出てきません😳 良いんです。DMARCの役割を実感できることが何より重要で、キーワードの意味や定義、設定の仕方なんて後からで十分ですから。

本コラムで紹介する例は、作り話ではありません。弊社が実際に被害にあった例を、オリジナルのデータをほぼそのまま公開するものです。業界でも珍しいと思いますが、そのほうがリアリティありますからね。(※1)

ある日、全く心当たりのないメールがきた!

ところで、弊社は株式会社フィードテイラーと言いまして、

の2つを主たるブランド事業としています。いわゆる、ソフトウェア開発・SaaS・コンサルティングの事業会社です。そんな弊社の問い合わせ受付メアド info [at] feedtailor.jp に、あるとき一通のメールが届きました。以下がそのキャプチャです。

(実在のフィッシングメール。存在もしない弊社のサービスを騙っている)

スパムは日頃よく届きますので慣れていますが、文面をよくよく見るとどうも様子が違う。

弊社はフィードテイラー(feedtailor)であり、その受付メアド宛に「Feedtailor NET」なるサービスのメンテナンス案内が届いているという状況なのですね。なんだそれ。そんなサービス無いし!

(赤線は筆者。URLの末尾に、ジャンプ先で自動入力させる意図が見えるフィッシングサイト実装の典型)

自社メアド宛てに自社サービスのメールが届くでしょうか?テストでもない限り通常ないですよね。しかも「Feedtailor NET」なるサービスを弊社は展開していません。

この違和感、共感頂けるでしょうか。普通のスパムじゃない…。

弊社(feedtailor)が問題視したのは feedtailor を騙ったメールであるということです。そう、自社になりすまされたフィッシングメール。弊社は悪意ある人物が勝手に送出したフィッシングメールで、なりすまし被害を受けたのです。

メール文中の他のURLは、いかにも弊社サイトに各ページが存在するかのようなURLになっています。

ドメイン表記がおかしいうえに実在しないURLなので、これはまだ良いでしょう。しかし始末が悪いのはフッタの最後にある以下。

公式facebookページとして記載されている https://facebook.com/Feedtailor です。これは実在していて、弊社が作った正規のページです。なのでクリックすると普通に表示されます。

(URL先頭が大文字なのは厳密には誤りだが、facebookでは大小区別しないので表示される)

さて、このメールをなぜ弊社は受信できているのでしょうか。通常フィッシングメールは、悪意ある人物や組織によって、以下のような段取りで送信され、被害に繋がります。

  1. 何千・何万件ものメールアドレスリストを入手する(または予め保有)
  2. フィッシングサイトを作り、フィッシングメールを作成し、一斉送信する
  3. メール文中のURLに誘導し、アカウント情報のパスワードやカード番号等を入力させる
  4. 3.で奪取した情報を使って決済や改竄を行う

紹介した弊社被害例は、たまたま1のリストの中に弊社の実在するメールアドレスが含まれていて、2.でおこぼれ的に(?)受け取ることができたメールだったというわけ。少し珍しい例だと思います。

メールの詳細な情報(ヘッダ情報)を見ると以下の通り。

差出人メールアドレスでも、しっかり弊社を名乗っていることがわかります。ドメイン名が feedtailor.jp になっていますから。ちなみに記載あるメアドは実在しないものです。ただ、ドメインは実在しますし、実際に弊社が保有し常用しているものです。

初めてこのメールを受け取った方は、弊社のことをどう思うでしょうか?

  • 心当たりない会社からだ。誤送信かな…
  • 何か怪しいメールを大量に送ってくる怪しい会社だな…
  • リンク先は存在しないし、フィッシングっぽいし関わらないでおこう…

などなど、フィッシングについて受信者がどれぐらい理解があるかによって捉え方は変わりますが、いずれにしても良い心情にはならないでしょう。最悪の場合、フィッシングのURLから何か被害に遭われてしまう可能性も否定できませんね。

フィッシングメールになりすまされて感じること

自社ドメインになりすまされたことは、弊社に3つの感情を抱かせました。

  1. 勝手にウチのドメインを騙られた悔しさ (義憤)
  2. 万が一被害にあわれた方がいたとしたらやるせない (罪悪感)
  3. 被害に遭う方がいなくても自社の印象が悪くなってしまうのは残念 (風評被害への懸念)

2つ目の、罪悪感というか無念さというか、そうした感情がとても強かったことを思い出します。

幸いメール文中のURL先は受信時に無効であり、同メールをトリガにした被害発生の報告を受けることも伝え聞くこともなかったのですが、気持ちの良いものではありませんし、何より心穏やかではいられません。

  • こんなメールが、もっと飛んでいるとしたら?
  • どこかで feedtailor を名乗るフィッシングメールが見知らぬ誰かに届いていたら?
  • メールが巧妙で、受信者の方が誤ってリンクをふんでしまったら?
  • さらに、その方が大事な個人情報やパスワードを入力してしまったら?

その問いに弊社は「絶対に嫌だ!許せん!」「阻止したい!」と強く思いました。当然ですよね。読者の皆さんがもし、同じことに遭遇したら、どう思われるでしょうか?

同じ感情を持つでしょうか。それとも「ま、自分には関係ないし、別に?」でしょうか。真っ当なビジネスやお仕事をされている方なら、ほぼほぼ前者だと思うんですよね。許すまじ、なりすましメールと。

インターネットに「なりすましは許さない」を意思表明する仕組み

なりすましを許さない、阻止したい…。そんな思いをインターネットの世界に表現できるのが DMARC という技術です。

DMARCを導入すると以下が可能になります。

  • (A) なりすましメールが届いてるよーと報告を受けられる
  • (B) なりすましメールを受信拒否してもらえるよう依頼できる

紹介した例のように、実際のなりすましメールを自社が受け取ることはなかなかできません。

ただ、DMARCを導入していれば、世界中のメールサーバが「おたくのメアドになりすましてるっぽいメールが届いたよ?」と自社に報告して貰えるようになり(A)、かつ、その場合にどうして欲しいかの方針を依頼できる(B)のです。

「ユーザの受信箱に入れずにもう捨てちゃってよ、ウチからの正規メールじゃないんだから」とか「怪しくても別に何もしなくていいよ、今まで通りユーザの受信箱に入れちゃって」とかですね。

(A)で「なりすまされ」の現状を知り、(B)で「なりすまし」に対する方針を意思表明します。DMARCの導入といってもレベルがある…と前回コラムで書いたのはそういうことです。現状を知ろうとしているか、どんな対応方針を表明しているか。意思表明の「質」に違いがあるのですね。

先のコラム

誤った設定(具体的には、p=noneでrua指定なし) で対応が完了した気になっている企業も驚くほど多いです。

と書きました。

この「p=noneでrua指定なし」というDMARCの設定は、現状を知るつもりはなく(A)、「なりすまされたメールがあっても気にしない」という企業意思の表明(B)、を意味します。

穿った見方をすれば、冒頭で紹介したようなフィッシングメールが自社になりすまして誰かに送り付けられていたとしても「ま、ウチには関係ないし、知らんけど?」と考えているということです。酷いですよね😫

一方、DMARC未導入なら、何の意思も表明していないことを意味します。

さて、ここまでの話を踏まえて我々はどうするのが良さそうでしょうか。もちろん意思表明をしない(DMARCの導入をしない)ことも一つの選択です。

弊社は、

  • (A) レポートを受け取って現状を正しく認識して、
  • (B) なりすましメールを「いっさい許さない」「阻止したい」という意思を表明する

という選択をしました。結果、弊社はDMARCを導入し、その設定は2025年現在、

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@feedtailor.jp,mailto:dmarc_agg@vali.email,mailto:4k2jx7h9sy@rua.powerdmarc.com; adkim=s; aspf=r;

としています。

この設定によって、冒頭に紹介したようなフィッシングメールが今後発生しても、そのメールが見知らぬどこかのユーザのメール受信箱に届くことは原則(※2)ありません。設定を p=reject としていて、これは「破棄してくれ」という弊社の意思表明だからですね。

(ある1ヶ月のグラフ。赤色が破棄されたなりすましメールの数。思った以上になりすまされている)

今はこの設定の詳細を理解する必要はありません。なりすましのフィッシングメールに対する意思や姿勢は、上記のような設定文言で表現されるのだということを感じて頂くだけで十分です。

では、その意思や姿勢を、どこでどうやって表明するのでしょうか?設定値とはいったい…?

世界中のメールサーバに一つ一つお願いしていくのでしょうか?それとも、どこか集中申請センターのような機関があってそこに何か書類を提出するのでしょうか?

次回のコラムでは、そのあたりを紹介したいと思います。

 

※1 DMARCの導入が浸透しないと嘆く向きもありますが、その原因の一つに、分かりやすい被害事例がほとんど公開されておらず(啓蒙側が実例をそもそも入手できないという構造的課題もある)、それゆえにドメイン保有者が「メールが届かない」というペナルティ回避以外に、DMARCを導入するモチベーションが湧かないことにあると考えます。

※2 メールサーバ側に弊社の意思表示である「破棄してくれ」を正しく汲み取って貰える前提です。主要メールプロバイダをはじめ、意思を正しく汲み取るメールサーバが増えているのが昨今の情勢です。またメールを受信しうるサービスを持つ各社には、意思を汲み取った対応をするよう行政から要請も出ています。