近年、実在の企業を騙りユーザーを架空サイトなどに誘導する「なりすましメール」が問題となっています。

自社ユーザーが被害に遭うことを防ぐためにも、 メールマガジンを配信している各企業は積極的にセキュリティ対策を実施する必要があります。

本記事ではなりすましメールの仕組みを紹介するとともに、対策時の4つのポイントを解説します。

送信者アドレスを偽装した詐欺メール

なりすましメールは、迷惑メールの一種で、特に送信者アドレスを偽装したメールのことを指します。

送信元アドレスを偽装して、実在の企業や有名人から送られたメールに見せかけることで、メールを受け取った人を油断させます。

フィッシング詐欺の常套手段としても知られており、メール内のURLリンクから偽装サイトに誘導することでクレジットカード情報などの個人情報を入力させ、騙し取るケースも見られます。

正規のサイトだと信じて情報を入力した被害者は、個人情報が盗まれたことになかなか気づけません。

そのため発覚が遅れ、銀行口座から勝手にお金が引き下ろされるなどの被害が発生してから事件に気づくことも少なくないのです。

なりすましメール対策の4つのポイント

ポイント（１）：メール未到達率などKPIの設定

なりすましメール対策を実施する際には、対策の有効性を後から検証するために、事前にしっかりとKPIを設定しておかなければなりません。

KPIの候補となる指標には様々なものがあります。

なかでもメール未到達数の改善率などは、効果測定を行ううえで特に有効性が高いと言えるでしょう。

Yahoo!メールやGmailなどのメールソフト、または各携帯キャリアのメールシステムには、迷惑メールを自動判定するセキュリティ機能が搭載されています。

このためなりすましメール対策をしっかりと施していない場合、メールマガジンを配信してもメールフィルターによって弾かれ、ユーザーのもとに届かない可能性があります。

しかし、逆に言えばなりすましメール対策をしっかりと行ないさえすれば、メール未到達率を改善できるのです。

ポイント（２）：電子署名技術で送信ドメインを確認する「DKIM（ディーキム）」

なりすましメール対策のひとつに、「DKIM」を活用するという方法があります。

「DKIM」は電子署名技術によって送信ドメインを確認する機能です。

受信したメールが本当に正当な送信者から送られたものであるか、改ざんされていないかどうかを調べます。

メールを送る際にDKIMで署名を付与し、受信側が署名内容を検証することで確認を行います。

ポイント（３）：送信元の正当性を判別するための認証技術に対応しているか「S/MIME（エスマイム）」

「S/MIME」は電子証明書によってメールを暗号化、メールに電子署名を付与するセキュリティ対策です。

現在、ほとんどのメールソフトが電子証明書による認証方式に対応しているため、受信者は簡単にメールの送信元の正当性を確認することができます。

なりすまし以外にメール内容の改ざん検知も可能です。

ポイント（４）：ドメイン偽装防止技術に対応しているか「SPF（エスピーエフ）」

「SPF」は送信元のIPアドレスをもとに、メールが正規のサーバーから送信されたものかを検証する認証技術です。

送信アドレスとサーバーの関係性を確認することにより、偽装された送信元アドレスからのメール配信を防止します。

現在、国内の携帯キャリアのほとんどがSPFを導入しているため、SPF対策を施していないメールはユーザー側で受信を拒否され、届かない可能性があります。

なりすましメールについてまとめ

なりすましメール対策をするうえでは、事前にあらかじめメール未到達率の改善予想値をKPIとして設定したうえで、なりすましメールの対策方法をしっかりと把握しておくことが重要です。