なりすましメールとは？見分け方と対策｜被害事例も解説【図解あり】

2025年6月13日セキュリティ

近年、金融機関やクレジットカード会社を装った「なりすましメール」が急増しています。
実在する企業やサービスを名乗り、ユーザーにリンクのクリックや個人情報の入力を促す巧妙な手口が目立っています。

バリュードメインにおいても、過去に弊社を装った不審なメールが確認されており、注意喚起を行いました。
一見すると正規のメールと見分けがつかない精巧な文面で、受信者を信用させようとする特徴があります。

さらに近年では、生成AIの普及により、文法や表現に不自然さのない詐欺メールが増加しており、従来のように文面の違和感だけで偽物を見抜くのは困難になりつつあります。

本記事では、こうした「なりすましメール」の仕組みや被害事例、見分け方、そして送信側・受信側双方の対策についてわかりやすく解説します。
メールを安全に利用するための基本知識として、ぜひ参考にしてください。

なりすましメールとは？

なりすましメールとは、悪意のある第三者が、実在する企業や団体、あるいは知人になりすまして送ってくる偽のメールのことです。

このようなメールでは、送信者の名前やメールアドレスが本物のように見えるように偽装されています。そのため、ぱっと見ただけでは「信頼できる相手から届いたメールだ」と勘違いしてしまうことがあります。

たとえば、有名企業の名前を差出人として偽装してメールを送りつけ、受信者に安心させようとする手口が代表的です。

こうしたメールに騙されると、知らず知らずのうちに個人情報を盗まれたり、ウイルスに感染したりする危険性があります。

図：国内のフィッシング情報の届け出件数（引用：フィッシング対策協議会フィッシングレポート2025）
上記の図からもわかるようにフィッシング情報の届け出件数は年々増加し、2024 年は特に下期において前年と比較して著しく増加しています。

年々手口が巧妙化し件数も増えており、メール利用者にとってなりすましメールは深刻な脅威となっています。

被害の対象は大企業だけでなく一般の個人や中小企業にも広がっており、クレジットカード会社や金融機関、通販サイト、ホスティング会社など様々な有名ブランドが悪用されている実態があります。

なりすましメールの仕組み

私たちが普段使っているメールには、実は「送信者を自由に名乗れてしまう」という仕組み上の問題があります。
メールの送信には「SMTP」という仕組みが使われていますが、このSMTPでは、送信者のメールアドレスを偽って送ることが技術的に可能なのです。

この弱点を悪用して、攻撃者は簡単なツールやプログラムを使って、本物の企業や知人を装った「なりすましメール」を送ってきます。

メールには大きく分けて2つの情報があります。

通常のメールでは、エンベロープにもヘッダーにも正しい送信者情報が入っています。
しかし、なりすましメールではこの「ヘッダー情報」だけを偽装して、本物の企業や人からのメールのように見せかけるのです。

メールを受信すると、私たちが目にするのは主にヘッダー情報です。この部分に偽装されたアドレスが表示されるため、見た目は本物そっくりです。
しかも、メールソフトでは通常、エンベロープ情報（本当の差出人）は表示されません。そのため、受信者は簡単には見破ることができないのです。

種類	エンベロープ情報（封筒）	ヘッダー情報（見える部分）	結果
通常のメール	mail from：example@value-domain.com rcpt to:user@test.com	正しい差出人 example@value-domain.com	本物のメールとして受信
なりすましメール	mail from：scam@spoofising.com rcpt to:user@test.com	ヘッダー情報を改ざん example@value-domain.com	本物のように見えるが偽物

攻撃者はエンベロープ情報には不正なサーバーを使いながら、ヘッダーの差出人アドレスを偽装することで、受信者をだまそうとしています。

主な手口と被害のリスク

なりすましメールにはいくつかの種類があり、それぞれ目的や攻撃手法が異なります。以下は代表的な3つの手口と、それによって起こりうるリスクです。

フィッシング詐欺

信頼できる企業や知人になりすまし、偽のWebサイトに誘導して個人情報を盗み取る手口です。

• 「Amazon」や「銀行」などを装ってメールを送信
• 「お支払い方法に問題があります」などの文言で不安をあおる
• 本物そっくりな偽サイトに誘導し、ログイン情報やカード情報を入力させる

入力してしまうと、アカウント乗っ取りや不正送金などの被害に繋がります。以下は、実際に弊社「バリュードメイン」になりすまして送信されたメールの例です。

このようなメールは非常に精巧で、本物の運営会社のロゴや文面を模倣しており、一見して偽物と気づきにくいのが特徴です。

もし情報を入力してしまうと、アカウントの乗っ取りや不正送金など深刻な被害につながる恐れがあります。「本物に見えるから大丈夫」と思い込まず、少しでも不審に感じたらメール内のリンクはクリックせず、公式サイトを通じて確認することが大切です。

マルウェア感染

ウイルス付きファイルを添付したメールを送信し、パソコンを感染させる手口です。

感染すると、機密情報の流出、端末の乗っ取り、取引先への二次被害など、企業に深刻な影響を与えることもあります。

ワンクリック詐欺

クリックしただけで架空請求画面に誘導し、金銭をだまし取ろうとする手口です。

正規の手続きをしていない限り支払う必要はありませんが、焦って支払ってしまうと金銭的被害につながります。

これらすべての手口に共通するのは、「送信者が本物のように見せかける」という点です。メールの見た目が本物にそっくりなため、受信者が信じて行動してしまいやすくなります。

一度だまされてしまうと、被害の回復は非常に難しいのが現実です。
だからこそ、「怪しいメールは開かない」「リンクをクリックしない」「添付ファイルは安易に開かない」といった基本的な対策を心がけましょう。

なりすましメールの見分け方

なりすましメールは年々手口が巧妙になっており、見た目だけでは本物かどうか判断が難しくなっています。
以下の4つのポイントを日ごろから意識することで、被害に遭うリスクを大きく減らせます。

送信元のメールアドレスをよく確認する

まず最初に確認すべきなのは、メールの差出人アドレスです。メールの表示名が「Amazonカスタマーサービス」や「楽天市場」などと書かれていても、それだけで本物と判断するのは危険です。

重要なのは、メールアドレスの「@以降」に注目すること。たとえば本物のAmazonのドメインは「@amazon.co.jp」などとなっているはずですが、「@amaz0n-support.info」のように似せた偽ドメインが使われるケースもあります。また、表示名と実際のメールアドレスが一致していない場合は要注意です。

下記は実際に届いたメールですが、差出人とメールアドレスが一致していないことからフィッシングメール詐欺であることがわかります。

普段見慣れた企業の名をかたっていても、アドレスに不審な英数字の羅列が含まれていないか、落ち着いて確認することが重要です。

メール内のリンク先を必ず確認する

本文に記載されたリンクをクリックする前に、そのリンク先がどこを指しているかを確認しましょう。

パソコンではマウスカーソルをリンクに合わせると、画面の左下などに実際のURLが表示されます。スマートフォンの場合はリンクを長押しすることで確認できます。

偽のメールでは、一見すると正しいURLに見えても、微妙に文字が違っていたり、公式のドメインとは異なるURLになっていることがあります。たとえば「.com」の部分が「.cn」になっていたり、会社名のスペルが一文字違っているなど、非常に紛らわしいケースが多いのです。少しでも見覚えがない、あるいは違和感を覚えるURLが表示された場合は、クリックせず無視するのが安全です。

メール本文の言い回しや内容にも注目する

送信元やリンクに問題がなさそうに見えても、メール本文の内容に少しでも違和感を覚えたら注意が必要です。

たとえば、日本語の表現がどこか不自然だったり、文法に違和感がある場合は、海外の攻撃者が作成したなりすましメールである可能性があります。
以前は、こうした不自然な日本語がなりすましの手がかりになっていました。近年はAIの進化により、より自然な文章で書かれたメールも増えており、違和感に気づきにくくなっています。

また、普段やり取りしている相手を装ったメールで、「至急ご対応ください」「振込をお願いします」など急な金銭要求があれば、特に警戒が必要です。
たとえ差出人の名前やメールアドレスが正しく見えても、請求書や見積書などの添付ファイルがある場合は安易に開かず、一度電話や別の連絡手段で「本当に送ったのか」確認することが大切です。

「なんとなく、いつもと違う」と感じる直感こそが、被害を防ぐ最初のブレーキになります。違和感を見逃さず、慎重に対応しましょう。

ヘッダー情報の確認（上級者向け）

少し高度な方法になりますが、メールの「ヘッダー情報」を確認することで、送信元の正体をより正確に見抜くことができます。

メールヘッダーには、どのメールサーバーを経由して配信されたかの情報（Received情報）が記録されています。たとえば、「楽天市場」を名乗るメールなのに、海外の見知らぬサーバーを通じて送られていた場合、それはなりすましの可能性が高いと言えるでしょう。

バリュードメインのサポート情報でも、GmailやOutlookといった主要なメールソフトでのヘッダーの表示方法を紹介しています。
それぞれのソフトで以下のように確認できます。

• Gmail：右上の【︙】三点リーダー」＞「 原文を表示」
• Outlook：メッセージを開き、【︙】三点リーダー」＞「表示」＞「メッセージのソースを表示」

ただし、ヘッダーの内容は専門用語が多く、初心者がすべてを正しく読み解くのは難しい場合もあります。
そのため、少しでも不審に思った場合は、メールを開かず削除するか、社内の詳しい担当者に相談することをおすすめします。

なりすましメールの多くは、「本物のように見せる」ことで受信者を油断させる手口です。しかし、本文の内容やアドレス、リンクなどを冷静に観察すれば、不自然な点は必ずあります。日ごろから、「ちょっとでもおかしいと感じたら疑う」姿勢を持つことが大切です。そして、少しでも不安な場合は、無理に開いたり対応したりせず、削除・相談することが最大の対策です。

なりすましメールへの対策

なりすましメールの被害を防ぐには、ユーザー（受信者）側での意識と行動、そして送信者側での技術的な対策の両方が重要です。ここでは、特に初心者の方でもすぐに実践できる基本的な対策に加えて、根本的な技術面の対応についてもわかりやすく解説します。

受信者側でできる6つの基本対処法

なりすましメールやフィッシング詐欺から身を守るためには、受信者自身の意識と行動が何より重要です。
以下に、誰でもすぐに実践できる6つの基本対処法を紹介します。

疑わしいメールは開封せず即削除

見覚えのない差出人や、件名・本文が怪しいメールを受け取った場合は、中身を確認しようとせず、そのまま削除するのが最も安全です。

特に、迷惑メールフォルダに入っているメールは誤って開かないよう、定期的に削除する習慣をつけましょう。メールを放置していると、うっかり開いてしまい、リンクをクリックしたり添付ファイルを開いてしまう恐れがあります。

不用意にリンクや添付ファイルを開かない

「自分は騙されないから大丈夫」と思っていても、一瞬の油断が大きな被害に繋がります。

たとえ差出人が取引先や知人の名前であっても、URLや添付ファイルは安易に開かず、まずは疑うことが重要です。特に添付ファイルにはマルウェア（ウイルス）が仕込まれている場合があり、開くだけで感染し情報が盗まれる可能性があります。

少しでも怪しいと感じたら、「このメール、本当に送りましたか？」と電話など別の手段で確認することが大切です。

送信元に直接問い合わせて確認する

差出人が知っている相手でも、内容に違和感を覚えたら、そのまま返信せず、別の方法で本人に確認しましょう。

メールに返信すると、偽のアドレスに返してしまう危険性があります。そのため、新規メールを作成したり、電話・SMS・ビジネスチャットなどの別の連絡手段を使って「このメールは本物ですか？」と問い合わせてください。

少し面倒に感じるかもしれませんが、確認する一手間が重大な被害を防ぎます。

万一被害に遭った場合の正しい対応を知っておく

もし、フィッシングサイトでIDやパスワードを入力してしまった場合は、できるだけ早くそのサービスのパスワードを変更しましょう。

また、同じパスワードを他のサービスでも使っている場合は、すべての関連パスワードを速やかに変更する必要があります。さらに、銀行口座やクレジットカードが関係する場合は、金融機関やサービス提供会社に連絡し、不正利用がないかチェックしてください。

添付ファイルでマルウェアに感染した疑いがある場合は、ネットワークから切断し、ウイルス対策ソフトでスキャンを実施します。状況によっては、専門業者に相談し、端末の初期化や被害拡大の防止措置を行う必要があります。

二段階認証を活用する

普段利用しているネットサービスでは、二段階認証（多要素認証）をできる限り有効化しておきましょう。

仮にIDやパスワードが漏れても、ログイン時に追加でワンタイムコードや生体認証を求められるため、不正アクセスを防げる可能性が高まります。多少手間がかかっても、大切なアカウントの安全を守るためには非常に有効な手段です。

なりすましメールや不正アクセスの脅威が高まる中、セキュリティ対策として二段階認証の導入が重要です。特に「Value-Auth（バリューオース）」は、SMSやメールを利用したワンタイムパスワードによる二段階認証を簡単に導入できるサービスです。

このサービスは、個人のブログから企業のWebサービスまで幅広く対応しており、専門的な知識がなくても設定が可能です。また、SMS10通・メール100通までは無料で利用できるため、コストを抑えつつセキュリティを強化できます。

不正ログインや情報漏洩を防ぐためにも、ぜひ「Value-Auth」の導入を検討してみてください。

迷惑メールフィルタを積極的に活用する

Gmailなどの主要なメールサービスや、セキュリティソフトには、迷惑メールを自動で識別・隔離する機能が搭載されています。これらの迷惑メールフィルタを有効にすることで、不審なメールをあらかじめ受信トレイから除外でき、誤って開封するリスクを大幅に減らすことが可能です。

市販のセキュリティ対策ソフトにも迷惑メール判定機能が付いているものが多いため、複数の対策を組み合わせて使うことがより効果的です。

なりすましメールを“送らせない”ための送信者側対策

なりすましメールの対策というと、つい「受け取った側の注意」に目が向きがちですが、実は“自分が送るメール”を悪用されないようにすることも非常に重要です。
そのために有効なのが、送信ドメイン認証技術と呼ばれる「SPF」「DKIM」「DMARC」という仕組みです。

これらの技術は、あなたのメールアドレス（ドメイン）を悪用して送られた偽メールを、受信者側で検出・ブロックできるようにする仕組みです。
現在では、GmailやYahoo!メールなどの主要サービスもこの認証を迷惑メール判定の材料として使っており、導入することであなたのメールの信頼性や到達率が高まるというメリットもあります。

SPF

SPF（Sender Policy Framework）は、「どのサーバー（IPアドレス）からの送信なら、このドメインからの正当なメールと認めるか」を指定する仕組みです。

具体的には、自分のドメインのDNSに「このIPアドレスからの送信を許可する」という情報（SPFレコード）を登録します。

受信者のメールサーバーは、メールを受け取ったときにその送信元IPがSPFレコードに登録されているか確認し、一致すれば「SPF=PASS」、一致しなければ「SPF=FAIL」という判定を行います。
これにより、明らかに関係ないサーバーから送られてきた「なりすましメール」を見分けることができるのです。

SPFは比較的古くからあり、多くのサービスですでに利用されています。導入難易度も比較的低いため、まず取り組むべき対策のひとつです。

SPFについては、以下の記事でくわしく解説しています。あわせてご覧ください。

DKIM

DKIM（DomainKeys Identified Mail）は、メールの内容が改ざんされていないことと、正しい送信者から送られたことを確認できる仕組みです。

メールを送るときに、送信者のドメインで作成した“電子署名”をヘッダーに付与し、受信側はDNSに公開されている公開鍵”を使ってその署名を検証します。

この検証によって、「途中でメールの内容が書き換えられていないか」「本当にそのドメインから送られたメールなのか」が分かります。
DKIMはGmail、Yahooメール、Microsoftなど大手サービスで標準対応されており、設定すれば信頼性や到達率も向上します。

DKIMについて詳しく知りたい方は、以下の記事をチェックしてみてください。

DMARC

DMARC（Domain-based Message Authentication, Reporting & Conformance）は、SPFやDKIMの認証結果に基づいて“受信側がどうメールを扱うか”をポリシーとして明示できる仕組みです。

たとえば「SPFやDKIMの認証に失敗したメールは受信拒否してください」といった指示をDNSに設定できます。

さらにDMARCには、「どのような認証失敗があったか」などをレポートで受け取れる機能もあり、
自分のドメインがなりすましに悪用されていないかを把握する手段としても非常に有効です。

DMARCを使うことで、なりすましメールの受信を未然にブロックできるだけでなく、管理者が問題の兆候に早く気づけるという大きな利点があります。
つまりDMARCは、「SPFやDKIMの結果を踏まえて、受信側でどう対処するかを制御する統合ルール」ともいえるのです。

DMARCの設定方法や正しい書き方を以下で解説しています。DMARC設定時にご活用ください。

SPF、DKIM、DMARCはそれぞれ単独でも有効ですが、3つすべてを正しく導入することで、より強固な送信ドメイン認証環境が構築できます。
現在の主要メールサービスはすでにこれらの認証を行っており、DMARCのポリシーで「p=reject」と拒否設定しておけば、なりすましメールが受信箱に届く前に自動的にブロックされます。

特に企業や独自ドメインを使っている方は、取引先や顧客が自社への信頼を維持するためにも、これらの設定は必須です。
仮にドメインが悪用されて取引先に迷惑メールが届けば、企業としての信頼にも傷がついてしまいます。

たとえ企業でなくても、自分の独自ドメインでメールを使っている個人ユーザーにも、これらの対策は有効です。GoogleやMicrosoftなどの大手メールサービスは、SPFやDKIMの結果をもとにメールの信頼性を判断しています。

つまり、SPFやDKIMをきちんと設定しておけば、自分が送ったメールが相手の迷惑メールフォルダに入ってしまうリスクを減らせるのです。
独自ドメインを使っている方は、ぜひこれらの認証設定を導入しておきましょう。

送信認証もセキュリティも万全！「コアサーバー」で安心のメール環境を実現しよう

なりすましメールの被害が増える中、「自分のドメインを悪用させない」ことも大切な対策のひとつです。
そこで登場するのが、SPF・DKIM・DMARCといった送信ドメイン認証です。
ただ、これらの設定を自分で行うのは、初心者には少しハードルが高く感じられるかもしれません。

そんなときにおすすめなのが、初心者でも簡単に導入できる「コアサーバー」です。
コアサーバーは、国内で人気の高性能レンタルサーバーで、セキュリティ機能が非常に充実しています。
個人利用から法人まで、幅広いユーザーに支持されている理由がここにあります。

コアサーバーでできるメールセキュリティ対策の主なポイント

• SPF・DKIM・DMARCに標準対応
  コアサーバーでは、主要な送信ドメイン認証技術（SPF・DKIM・DMARC）に完全対応。
  コントロールパネルから簡単にDKIM署名の有効化ができます。
  専門的な知識がなくても、簡単に正しい認証付きのメールを送信できる環境が整います。
  これにより、「なりすましメール」と誤判定されてしまうリスクも大幅に低減できます。
• アウトバウンドスパム対策（送信数制限）
  万が一、メールアカウントが不正アクセスされた場合に備えて、1日あたりの送信通数を制限する機能もあります。
  コントロールパネルから簡単に上限を設定できるため、セキュリティ強化に役立ちます。
• パスワード誤入力時の自動IPブロック機能
  パスワードを何度も間違えた場合、その接続元IPを自動的に一定時間ブロックする機能も搭載。
  たとえば、SMTPやPOPへの不正ログインが短時間に多数発生すると、即座に攻撃元を遮断します。
  この仕組みにより、ブルートフォース攻撃（総当たり攻撃）などからメールアカウントを守ることができます。

コアサーバーには上記以外にも、以下のような総合セキュリティ機能が搭載されています。

さらに、これだけの機能を備えながら、料金は月額390円から利用可能という高コスパが魅力です。

「セキュリティ対策をしっかりしたい」「自分のメール環境を強化したい」と考えている方は、まずは一度、使い心地を体験してみてください。きっと、メールの信頼性と安心感が大きく変わるはずです。

なりすましメールに関するQ&A

なりすましメールに関する、よくある質問は以下のとおりです。

なりすましメールかどうかを見分ける簡単な方法はありますか？

まずは送信元のメールアドレスを確認しましょう。

表示名だけで判断せず、アドレスの@以降のドメインを確認することが大切です。不審な文字列が含まれていないかも注意してください。

なりすましメールが届いたらどうすればいいですか？

メール内のリンクをクリックせず、公式サイトを直接開いて内容を確認しましょう。

また、不審なメールは開封せずに削除し、必要であれば社内や関係機関に相談してください。

なりすましメールを拒否するには？

SPF・DKIM・DMARCといった送信ドメイン認証を導入することで、なりすましメールの受信を減らすことができます。Gmailなどのサービスでは、自動的にこれらの認証情報を参照して迷惑メールをフィルタリングしています。 ただし、認証設定が不十分な正規のメールもブロックされる可能性があるため、導入時には慎重に設定を行い、必要に応じてホワイトリストなどの調整が必要です。

芸能人を装ったなりすましメールとは何ですか？

芸能人やインフルエンサーになりすましたメールも確認されており、ファン心理を悪用して個人情報や金銭を騙し取ろうとするケースがあります。信頼できない送信元からの連絡には応じず、必ず公式サイトで発信元を確認しましょう。

まとめ：安全なメール環境で被害ゼロを目指そう！

近年、なりすましメールはますます巧妙になり、誰もが被害に遭うリスクがあります。
だからこそ、「怪しいメールは開かない・リンクはクリックしない」という基本を守ることが大切です。

さらに、SPF・DKIM・DMARCといった送信ドメイン認証技術を活用すれば、メールそのものの信頼性を高めることが可能です。

コアサーバーなら、初心者でも簡単にこれらの認証を導入可能。
設定はわかりやすく、サポートも充実しているので、すぐに高セキュリティな環境を構築できます。

大切な情報を守るために、今こそメールセキュリティの見直しを。
安全なメール運用を始めるなら、コアサーバーがおすすめです！