「〇〇部長から急ぎで資料を送るよう依頼があったので対応しました」

後で部長本人に確認したら「そんなメール送っていない」。

こういうケース、他人事ではないかもしれません。

こんにちは、こんばんは。TechAtlas(てっくあとらす)です。

今回は、マリモホールディングスで起きた「役員を装ったフィッシング攻撃」の事案から、中小企業でも起こりえる「なりすましメール」の危険性を考えていきます。

• 参考記事
• 記事の概要
  • 手口
  • 被害の規模
  • 今回の注目点
• この記事から考えたいこと
  • 「上司からのメール」はなぜ信じてしまうのか
  • メールの「差出人名」と「メールアドレス」は別物
  • なりすましの目的は「送金」だけじゃない
• 中小企業でできる対策
  • 習慣1：メールアドレスのドメインを確認する
  • 習慣2：「急ぎの依頼」は別経路で確認する
  • 習慣3：社員向けに「こんなメールに注意」を伝える
  • 今日からできること
• まとめ
• 経営者から聞かれたときの回答例

---

参考記事

• 役員の業務依頼を装うフィッシング攻撃で被害 - マリモHD

※以下は上記記事を読んだ上での個人的な考察です。

---

記事の概要

不動産事業を展開するマリモホールディングスが、フィッシング攻撃による従業員情報の流出を発表しました。

手口

「グループ会社の役員を装った第三者」がフィッシングメールを送りつけ、業務依頼に見せかけて従業員情報を詐取したというものです。

被害の規模

流出した情報は14社グループ・約1,360名分の従業員データ。

内容は「氏名・会社名・社員コード・入社年月日・社員区分・所属部署・勤務地名・業務用メールアドレス」と、在職者だけでなく退職者も含まれます。

今回の注目点

同社は今年2月に、「ビジネスメール詐欺（BEC）によって5,000万円を送金してしまった」事案をご紹介しました。

start-it.hatenadiary.com

このケースは「社長を装って送金を指示する」という手口でした。

今回は少し違います。

目的が「お金」ではなく「従業員情報の詐取」。
でも手口の根っこは同じ、「役員・上司からのメール」を装って相手を信じ込ませる、というものです。

---

この記事から考えたいこと

「上司からのメール」はなぜ信じてしまうのか

なりすましメールが機能する理由は、心理学的に説明できます。

「上司や役員からの指示には従わなければならない」という意識が、メールの真偽を確認するより先に動いてしまうのです。

特に「急ぎの業務依頼」「内密に対応してほしい」という文脈が加わると、「確認している時間はない」「相談できる雰囲気ではない」という気持ちになり、疑うことなく対応してしまいやすくなります。

攻撃者は、この心理を意図的に突いています。

メールの「差出人名」と「メールアドレス」は別物

ここが一番大事なポイントです。

メールの「差出人」として表示される名前（例：「田中部長」）と、実際の送信元メールアドレスは、別物です。

メール送信の仕組み上、差出人名は自由に設定できます。

つまり、「田中部長」という名前が表示されていても、実際の送信元は attacker@malicious-domain.com だった、ということが起こりえます。

Outlookやスマートフォンのメールアプリでは、デフォルトで「差出人名」しか表示されないことが多く、メールアドレスのドメインまで確認しないまま開封してしまいがちです。

なりすましの目的は「送金」だけじゃない

以前ご紹介したBEC（ビジネスメール詐欺）の事案では、なりすましの目的は「不正送金」でした。

今回の事案が示すのは、なりすましの目的はそれだけではないということです。

• 従業員情報の詐取（今回のケース）
• 顧客情報・取引情報の詐取
• フィッシングリンクへの誘導（認証情報の窃取）
• マルウェアの実行を誘導

「送金を指示するような怪しいメールは来ていないから大丈夫」という認識では、今回のような情報詐取型の攻撃は防げません。

---

中小企業でできる対策

難しいツールや仕組みがなくても、習慣として取り組めることがあります。

習慣1：メールアドレスのドメインを確認する

「田中部長からのメール」が来たとき、差出人名ではなく、メールアドレスのドメイン部分（@以降）を確認する習慣をつけましょう。

• 社内の人からのメールなら：@会社のドメイン.co.jp であるはず
• グループ会社の人からのメールなら：グループのドメインであるはず
• 「急ぎ」と書いてあっても、10秒でできる確認です

習慣2：「急ぎの依頼」は別経路で確認する

「急ぎで情報をまとめて送ってほしい」「今すぐこの書類を用意してほしい」という内容のメールが来たとき、そのメールに返信するのではなく、電話やチャットなど別の経路で本人に確認しましょう。

「メールが届きましたよね？」という確認でOKです。本物の依頼であれば「ありがとう、よろしく」で終わります。

中小企業の場合、人数が少なく「確認しやすい」環境にあります。これは実はセキュリティ上の強みです。

習慣3：社員向けに「こんなメールに注意」を伝える

「上司を装ったフィッシングメールが増えています。急ぎの依頼で情報提供を求めるメールが来たら、必ず本人に口頭で確認してから対応してください」

こういった注意喚起を、月1回のミーティングや社内チャットで伝えるだけでも効果があります。

今日からできること

1. 自分のメールアプリで、差出人のメールアドレス（ドメイン）が確認できるか試してみる（スマートフォンは差出人名しか表示しない設定になっていることが多い）
2. 「急ぎの業務依頼メールが来たら別経路で確認する」というルールを、1人でも周囲に伝えてみる
3. 社内の人に送るとき、自分のメールアドレスのドメインが正しく表示されているか確認する

---

まとめ

今回のポイントをまとめます。

• マリモHDで役員を装ったフィッシングメールにより、約1,360名分の従業員情報が流出
• 「役員・上司からの業務依頼」という形でメールを送り、情報を詐取する手口
• なりすましメールの目的は「送金詐欺」だけでなく、情報詐取・認証情報窃取など多岐にわたる
• メールの「差出人名」は自由に設定できる。信頼すべきは差出人名ではなくメールアドレスのドメイン
• 対策は習慣：①ドメインの確認、②別経路での確認、③社員への注意喚起

「上司からの指示だから」という心理を突く攻撃は、技術的な対策だけでは防ぎにくいです。

でも「怪しいと思ったら確認する」という文化を、小さな組織の中でも育てていくことができます。
中小企業の「顔が見える」環境を、セキュリティの武器として活かしていきましょう。

また気になるニュースがあったら、考察記事を書きたいと思います。

---

経営者から聞かれたときの回答例

もし経営者から「役員になりすましたメール詐欺って、うちにも来るの？」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。

---

「十分あり得ます。今回のケースでは、グループ会社の役員名でフィッシングメールを送りつけ、従業員が情報を送ってしまったというものです。

ポイントは、メールの差出人名（表示名）は誰でも自由に設定できるという点です。画面に『〇〇部長』と表示されていても、実際の送信元はまったく別のアドレスということが起きます。

対策として社員に伝えたいのが、『急ぎの業務依頼メールが来たら、返信する前に口頭や電話で本人に確認する』という習慣です。10秒の確認で防げる被害です。

社内チャットや次の朝礼で、この話を周知させてもいいですか？」

---

最後に「周知の許可を取る」という形にしているのがポイントです。「やります」ではなく「やっていいですか？」と経営者を巻き込むことで、会社全体の取り組みとして動かしやすくなります。

---

TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中

ブログ: 中小企業IT担当者のスタートガイド