銀行・宅配業者・行政機関を装ったフィッシングメールは年々巧妙になっています。差出人の表示名や本文だけでは真偽を判断しにくくなっており、メールヘッダーを確認することが最も確実な見分け方です。
フィッシングメールの主な特徴
以下に当てはまるメールは注意が必要です。
- 「アカウントが停止されます」「至急ご確認ください」など緊急を煽る文言
- リンクのURLが本物のドメインと異なる(例:
amazon-security.comなど) - 差出人のメールアドレスが公式ドメインと異なる
- 本文に不自然な日本語・誤字がある
- 添付ファイルがある(請求書・配送通知などに偽装)
ただし最近のフィッシングメールは文章・デザインともに本物に近く、これらの特徴だけでは判断できないケースが増えています。
メールヘッダーとは
メールヘッダーは、メールの「封筒の裏」にあたる情報です。送信経路・認証結果・タイムスタンプが記録されており、送信元サーバーが正規かどうかを確認できます。
通常のメールクライアントでは非表示ですが、設定から確認できます。
| メールクライアント | 確認方法 |
|---|---|
| Gmail | メール右上「…」→「メッセージのソースを表示」 |
| Outlook | メール右クリック →「プロパティ」→「インターネットヘッダー」 |
| Apple Mail | 「表示」→「メッセージ」→「長いヘッダー」 |
| Thunderbird | 「表示」→「ソース」 |
ヘッダーで確認すべき項目
Return-Path と From の一致
From: support@shop.example
Return-Path: <info@phishing-site.example>
From(表示上の差出人)と Return-Path(実際の返信先・エラー通知先)が異なる場合、なりすましの可能性があります。
Received ヘッダーで送信経路を追う
Received: from mail.example.com (203.0.113.1)
Received ヘッダーは下から上に読みます。最初に受け取ったサーバー(一番下)が実際の送信元です。IPアドレスが公式サーバーと異なる場合は疑わしいです。
SPF・DKIM・DMARC 認証結果
| 項目 | PASS の意味 | FAIL の意味 |
|---|---|---|
| SPF | 正規のサーバーから送信された | 許可されていないサーバーから送信 |
| DKIM | メール内容が改ざんされていない | 署名が無効(改ざんの可能性) |
| DMARC | SPF・DKIMが組織のポリシーに合致 | なりすましの可能性が高い |
SPFやDKIMが fail や softfail になっているメールはフィッシングの可能性が高いです。ただし、設定が不完全な正規企業のメールでも fail になる場合があります。
具体的な確認手順
- メールヘッダーを取得する(上記の方法で)
FromアドレスとReturn-Pathが一致しているか確認Authentication-ResultsでSPF・DKIM・DMARCの結果を確認Receivedヘッダーで送信元IPアドレスを確認- 不審なリンクはクリックせず、公式サイトに直接アクセスして確認
フィッシングメールを受け取ったら
- リンクはクリックしない・添付ファイルは開かない
- メールに記載された電話番号には電話しない(その番号も偽物の可能性がある)
- 公式サイトのURLをブラウザに直接入力してアクセスする
- 迷惑メール・フィッシング報告機能を使って報告する
メールヘッダー解析ツールでは、ヘッダーテキストを貼り付けるだけでSPF・DKIM・DMARC認証結果・送信経路・フィッシング疑惑を自動解析します。ヘッダー情報はサーバーに送信されません。