アオウル博士: ITとセキュリティの専門家。ミマワリの頼れる相談相手。
ミマワリ: アオウルのキャラクター。PCやスマホは毎日使うけど、たまにツールがうまく使えず困ってしまう。
2025年、Gmailの迷惑メールが急増中?Googleが導入した「送信者要件」の強化。しかし、その「秘密」の抜け穴を突く巧妙なスパムが横行しています。なぜ今、迷惑メールが増えたのか?その危険な手口と、個人・企業ができる最新の対策を専門家が会話形式で徹底解説。
博士、大変です!なんだか最近、Gmailに届く迷惑メールがすごく増えた気がするんです…。
おかしいなぁ。2024年頃からGoogleが「送信者要件」っていうのを強化して、迷惑メール対策がすごく厳しくなったってニュース(※検索結果7.1参照)で見たんですよ。なのに、むしろ巧妙になってません?
昨日なんて、取引先の田中さんの名前で「請求書です」ってメールが来て、危うく開きそうになっちゃいました!
【緊急警告】ミマワリ君、まさにそれじゃ!その「対策が強化されたはずなのに巧妙化している」という【ギャップ】こそが、2025年現在のGmailセキュリティにおける最大の落とし穴なんじゃ!
多くの人が「Googleが守ってくれる」と安心しきっている。攻撃者は、その安心感が生んだ「意識の隙間」と、新ルールの**【秘密の抜け穴】を巧妙に突いてきておるんじゃよ。
ええっ!?ルールの「抜け穴」ですか?いったいどういうことでしょう…。
第1章:なぜ? Googleが対策したのに迷惑メールが増える「ギャップ」
うむ。まず、Googleが強化した「送信者要件」とは何か、その【ビフォーアフター】を簡単におさらいしよう。
【ビフォー】(~2023年)
誰でも、どんなメールアドレス(例:president@usa.gov)でも、比較的自由に名乗ってメールを送れてしまえた。だから「なりすまし」が横行したんじゃ。
【アフター】(2024年~)
Googleは「Gmail宛に送るなら、送信者は身元を証明しなさい!」というルールを課した。具体的には…
- SPF/DKIM:「私は本物です」という電子署名のようなもの。
- DMARC:「もし署名のない偽物が来たら、こう対処してね(受信拒否してね)」というポリシー宣言。
このルールのおかげで、メールアドレス(@example.com の部分)を丸ごと偽装する単純な「なりすまし」は、確かに激減したんじゃ。
じゃあ、安全になったはずですよね?なのに、なぜ僕のところに「田中さん」を名乗るメールが…?
そこがポイントじゃ。攻撃者が見つけた【秘密の抜け穴】は、大きく分けて3つある。
抜け穴①:「表示名」なりすまし
DMARCがチェックするのは、あくまでメールアドレス(@example.com)の正当性じゃ。そこで攻撃者は、メールアドレスは「本物」(攻撃者自身が正規に取得した、DMARC設定済みのドメイン)を使い、「表示名」だけをミマワリ君の知る「田中さん」に偽装するんじゃ。
(例)
表示名: 田中 一郎(取引先)
アドレス: ichiro.tanaka@security-update-service.net
多くのメールソフトは「表示名」しか目立たせない。ミマワリ君は「田中さんからだ」と信じてしまう。これはDMARCルールでは防げないんじゃ。
抜け穴②:「そっくりドメイン」の取得
本物の会社が aoulu.jp だとしたら、攻撃者は aolul.jp(oとl)や aoulu-support.com のような、目視では見分けがつきにくい「そっくりドメイン」を取得し、そこにDMARCをバッチリ設定して送ってくる。これもGoogleのシステム上は「正規のメール」として扱われてしまう。
抜け穴③:「正規アカウントの乗っ取り」(最大の脅威)
これが2025年、最も深刻な問題じゃ。攻撃者は、フィッシング詐欺などで、君の同僚や取引先の本物のGoogle Workspace(またはMicrosoft 365)のアカウントを乗っ取ってしまう**。
乗っ取った「本物のアカウント」から送られるメールは、当然DMARCもSPFもDKIMもすべて「本物」としてパスする。Gmailはそれを迷惑メールとは判断できん。これが、巧妙な迷惑メールがすり抜けてくる最大の理由なんじゃ。
第2章:【検証】これが新手の迷惑メールだ! 巧妙化する手口ランキングTOP3
正規のアカウントから送られたら、もう見分けがつかないじゃないですか…!怖すぎます…。
そうじゃ。だからこそ「手口」を知っておく必要がある。2025年10月現在、特に検索され、被害報告が多い手口の**【ランキング】**を発表しよう。
【第3位】Google Drive / OneDrive の「偽」共有通知
「(実在する同僚名)さんがドキュメント(例:2026年度予算案.xlsx)をあなたと共有しました」という、本物そっくりの通知が来る。共有ボタンを押すと、偽のGoogleやMicrosoftのログイン画面(フィッシングサイト)に飛ばされ、IDとパスワードを盗まれるんじゃ。
(見破りポイント)
これは「抜け穴①:表示名なりすまし」と「抜け穴②:そっくりドメイン」の合わせ技が多い。送信元のアドレスが、本物の google.com ではなく google-drive.com や shared-document.net になっていないか確認するんじゃ。
【第2位】「経理部からのお知らせ」を装う請求書・給与明細詐欺
「(実在する経理担当者名)です。今月の請求書(または給与明細)を送ります。添付のパスワード付きZIPファイルを確認してください」というものじゃ。これはマルウェア「Emotet(エモテット)」などの常套手段じゃな。
(見破りポイント)
これが「抜け穴③:正規アカウントの乗っ取り」だった場合、非常に厄介じゃ。過去のメールに返信する形で送られてくるため、完璧になりすましている。しかし、「なぜ今、このタイミングで?」「いつもと添付ファイルの形式が違う(ZIPファイルなど)」という小さな違和感が手がかりになる。
【第1位】「IT管理者/Googleサポート」を名乗る緊急警告
これが今、最も危険な攻撃じゃ。「セキュリティ警告:あなたのアカウント(mimawari@aoulu.jp)で異常なログインが検出されました」「容量不足:24時間以内にストレージをアップグレードしないとアカウントが停止します」といった、緊急性を煽る内容じゃ。
(見破りポイント)
これも「乗っ取られた正規アカウント」や「そっくりドメイン」から送られてくる。人間は「アカウント停止」などの【警告】に非常に弱い。しかし、GoogleやMicrosoftが、ユーザーにこのような形でパスワードの入力やアップグレードを強制することは絶対にない。100%詐欺だと断定していい。
第3章:鉄壁の守りを! 企業と個人ができる「今すぐ」対策【ビフォーアフター】
ひゃー、どれも巧妙ですね…。もう何を信じたらいいか…。会社として、個人として、何をすればいいんですか?
うむ。攻撃者が巧妙なら、我々はそれ以上に賢くならねばならん。対策は「システム(会社)」と「意識(個人)」の両輪で進める必要がある。それぞれの【ビフォーアフター】で見ていこう。
【企業ができるシステム対策(管理者向け)】
▼DMARC設定
ビフォー: DMARCを p=none(監視モード)で設定しただけで満足している。
アフター: 必ず p=quarantine(隔離)または p=reject(拒否)で設定し、なりすましメールが届かないようにする。さらに、サブドメインポリシー(sp=reject)も設定し、抜け穴を完全に塞ぐ。
▼アカウント保護
ビフォー: ログインはIDとパスワードだけ。多要素認証(MFA)は任意にしている。
アフター: 全従業員の多要素認証(MFA)を『必須』にする。それも、SMSやアプリ通知ではなく、フィッシング耐性の高い『セキュリティキー(物理キー)』を導入するのがベストじゃ。これならIDとパスワードが盗まれても、アカウントの乗っ取りは防げる。
▼侵入検知
ビフォー: ウイルス対策ソフト(アンチウイルス)だけで安心している。
アフター: 侵入『後』の不審な動きを検知するEDR(Endpoint Detection and Response)を導入する。万が一、正規アカウントからのメールでマルウェアに感染しても、その後の活動(情報窃取など)を即座に検知・隔離できる。
▼メールフィルタリング
ビフォー: Google Workspaceの標準フィルタに任せきり。
アフター: Google Workspaceの「高度なフィッシングとマルウェアからの保護」設定を最大限制御する。例えば、「不審な添付ファイル」「認証されていない送信者」のメールを自動的に隔離するルールを強化するんじゃ。
第4章:もう騙されない!私たちにできる「迷惑メール」撃退術【検証】
システム対策は難しそうですが、僕が個人で『今すぐ』できることはありますか?受信トレイを開くのが怖くなってきました…。
もちろ んじゃ。受信トレイは「戦場」だと思え。以下の【検証】ステップを習慣づけるんじゃ。
対策①:「表示名」ではなく「メールアドレス」を必ず【検証】する
PCなら送信者名にマウスカーソルを合わせる。スマホなら送信者名をタップする。これで、隠された本当のメールアドレスが表示される。「(取引先名)<strange-address@unrelated.com>」となっていないか、必ず確認する癖をつけるんじゃ。
対策②:Gmailの「警告ラベル」を信用する
Gmailは非常に優秀じゃ。DMARC設定が不十分な送信元からのメールや、「なりすまし」の疑いがあるメールには、「(送信者名)が Gmail での認証をパスしませんでした」といった【警告】ラベルを表示する。特に送信者アイコンに「赤い疑問符(?)」が表示されたら、100%詐欺だと思っていい。絶対に開いてはいかん。
対策③:本文中の「リンク」と「ボタン」の飛び先を【検証】する
「緊急」「至急」「確認してください」という言葉で焦らせてくるメールは、まず疑う。本文中のリンクやボタンにマウスカーソルを合わせて(クリックはしない!)、ブラウザの左下などに表示されるリンク先のURLが「本物」か確認する。短縮URL(bit.lyなど)は特に危険じゃ。
対策④:「別経路」で【検証】する(最強の防御策)
これが最強の防御策じゃ。「請求書を送った」「パスワードを変更しろ」「至急振り込んでくれ」とメールで来ても、そのメールで返信してはいかん。
必ず、社内チャット(Google ChatやSlackなど)や電話、直接対面など、まったく別の手段で「今、〇〇という件名でメール送りましたか?」と本人に確認するんじゃ。メールが乗っ取られていたら、メールで返信しても犯人に届いてしまうからな。
最終章:イタチごっこを制するために
博士、ありがとうございました!よく分かりました!
Googleがルールを強化したから、攻撃者は「ドメインの偽装」という力技をやめ、「正規のアカウントを乗っ取る」「表示名を偽る」という、より巧妙な心理的な攻撃にシフトしてきたんですね。
うむ。その通りじゃ!技術の進化は、常に攻撃者とのイタチごっこじゃ。我々ができることは、会社としてシステムを最新(DMARCやMFAの強化)に保ち、そして何より、私たち一人ひとりが「メールは常に疑う」という意識を持つことじゃ。
特に「正規のアカウント(同僚や取引先)」から送られてきたメールだとしても、金銭やパスワードが絡む依頼、不自然な添付ファイル(ZIPなど)、緊急性を煽る警告があった場合は、絶対にクリックせず、必ず「別経路確認」を怠らないこと。
これが2025年を生き抜くための、最強のセキュリティ術じゃよ。
