送信者名を見ても意味がない ― 社員をフィッシングメールから守る現実的な方法

知人から連絡が来ました。「PayPay から SMS が来たんだけど、本物と偽物が同じスレッドに並んでいて怖かった」と。

画面を見せてもらうと、上に本物の認証コード（PayPay から届いたもの）、下に「1ヶ月分の料金引落ができませんでした」という偽の支払い案内が、同じ「PayPay」というスレッドに並んでいました。

これはバグでも偶然でもありません。SMS には送信者名を自由に設定できる仕組みがあり、攻撃者が「PayPay」と名乗れば、iPhone は本物のスレッドに並べてしまいます。メールの世界でも同じことが起きています。

人間は送信者名を見ている

フィッシング対策の研修でよく言われるのが「送信者のメールアドレスを確認しましょう」という指導です。ただ、現実的に考えてみてください。

取引先のメールアドレスを正確に覚えている人はほとんどいません。人間が覚えているのは「鈴木さん」「山田部長」「Amazon」という名前であって、ドメインではありません。amazon.co.jp と amazon-jp.net の違いに、メールを読みながら気づくのは難しいです。

つまり「送信者名で判断しない」という習慣を社員全員に身につけさせることは、構造的にかなり難しい。

メールサービスのフィルタが最初の防衛線

実際のところ、Gmail や Hotmail（Microsoft 365）を使っているなら、フィッシングメールのほとんどはすでに迷惑メールフォルダに届いています。これらのサービスは大量のデータをもとにした AI フィルタを持っており、個人が目視で判断するより精度が高いです。

問題は独自ドメインで自前のメールサーバを運用している場合です。

地元のIT ベンダーに勧められて独自サーバを立てているケース、クリニックや士業事務所でよく見かけます。このとき、Gmail や Microsoft のような強力なフィルタは使えません。フィッシングメールが社員の受信トレイに直接届き、判断は個人に委ねられます。

「普段と違う違和感」が唯一の武器

訓練メールを経験した方はご存知だと思いますが、よく作られたフィッシングメールは文面だけでは判断が難しいです。あるとき、社内アドレスを偽装した訓練メールで新入社員が引っかかりました。後から「文章をよく読めば分かった」という声もありましたが、それは結果論です。

ベテランが気づけて新入社員が気づけないのは「普段と違う違和感」の感度の差です。

• 情報システム部からこんな依頼がメールで来るのか
• この時間帯にこの内容はおかしい
• いつもと違う口調、いつもより急かされている

この感度は経験で育つものですが、根拠のない「なんか変」を言語化するのは難しく、全員が持てるものではありません。

「なんでメールなんだ？」という発想

最近、社内の連絡ツールが Teams や Slack に移行した会社では、メールへの不信感が自然と高まっています。「社内の依頼がメールで来た」という時点で、そもそも怪しいと感じる環境ができつつあります。

社内連絡を Teams や Slack に一本化しているなら、「メールで届く社内依頼はすべて疑う」というルールを明文化するだけで、フィッシング耐性はかなり上がります。

経営者が今日できる3つのこと

1. 自社ドメインに DMARC を設定する。自社のドメインを使った偽メールを第三者に送られるリスクを下げられます。設定自体は技術的な作業ですが、社内のメール担当者か IT ベンダーに依頼できます。「DMARC 設定していますか」と聞くだけで現状が分かります。

2. 独自メールサーバを運用しているなら、フィルタの品質を確認する。Google Workspace か Microsoft 365 への移行は、費用対効果が高いセキュリティ投資です。

3. 「メールのリンクはクリックしない」をルール化する。銀行やクレジットカードからのメールでリンクを踏む必要はありません。公式サイトにはお気に入りか Google 検索から行くと決めるだけで、フィッシングの多くは防げます。

フィッシングメールだと気づいたら

削除して構いません。使っているメールクライアントに報告機能があれば（Outlook なら「フィッシング詐欺の報告」、Gmail なら「フィッシングを報告」）、報告しておくとフィルタの精度向上に貢献できます。

重要なのはリンクをクリックする前に気づくことです。クリックした後で「怪しい」と思ったら、何も入力せずにウィンドウを閉じてください。