📩「なりすまし訓練メール」が届かない時代に
標的型攻撃メール訓練において、「実在の企業や取引先を装った訓練メールを送りたい」、また、業務に影響が及ばないよう「実在しないドメイン名で訓練メールを送りたい」と考える担当者は少なくありません。
リアルな訓練を行うには、攻撃者が使うような「なりすまし」メールを再現したくなるのも自然なことです。
しかし、現在のメールセキュリティ環境では、「なりすましメール」は届かない可能性が非常に高くなっています。
✅ メールのなりすましを防ぐ技術:SPF・DKIM・DMARCとは?
現代のメールシステムでは、以下の3つの技術が導入され、なりすましメールを厳しくフィルタリングしています。
- SPF(Sender Policy Framework)
→ 指定されたIPアドレス以外からの送信を拒否
- DKIM(DomainKeys Identified Mail)
→ メールが改ざんされていないことを暗号署名で検証
- DMARC(Domain-based Message Authentication, Reporting, and Conformance)
→ SPF・DKIMの結果に基づいて受信可否を判断するポリシー
これらの認証に失敗したメールは、多くのケースで迷惑メールに振り分けられるか、そもそも受信すらされません。
❌ 例えばこんな失敗例
ある担当者が「取引先を装った訓練メール」をsupport@example.co.jpという差出人で送ろうとしたところ…
✉️ エラー:550 5.7.1 SPF validation failed
このようなエラーメッセージとともに、メールがブロックされ、訓練が成立しませんでした。
✅ メールドメインが実在するかどうかもチェックされる
差出人のメールアドレスに使われているドメイン名が実際にメールの送受信に使われているかどうかは、ドメイン名を管理するDNSサーバーを参照し、MXレコードというものが存在するかどうかで確認することができます。
MXレコードには、そのメールアドレスでのメール送受信に使われているメールサーバーの情報が設定されていますので、MXレコードの存在自体が無ければ、そのメールアドレスは使えないということになります。
使えないアドレスでメールを送信しているということは、差出人アドレスの設定を間違えているか、不審なメールであるかのどちらかだと考えられますので、メールサーバー側では”差出人不詳“として送受信を拒否して構わないということになります。
このため、今では実在しないドメイン名で訓練メールを送信しても、ほぼ届かないのが実際です。
🎯 訓練メールを確実に届けるために考慮すべき3つのポイント
- 差出人アドレスは、SPFとDKIMで認証が通るものを使う
→ 自社で管理しているドメイン、または訓練用に用意したドメインを使用
- 受信環境側のDMARCポリシーを考慮する
→p=rejectとなっている場合、なりすましメールは原則としてブロックされます。
- ホワイトリスト設定ができる場合はホワイトリストを設定する
→Microsoft Office365などのメールサービスでは、誤判定などによりメールが届かなくなることを防ぐために、特定のメールサーバーからのメールや、特定のアドレスについてはブロックすることを回避する「ホワイトリスト」を用意している場合があります。
ホワイトリスト機能がある場合は、ホワイトリストへの設定を検討してください。
【参考情報】
https://learn.microsoft.com/ja-jp/defender-office-365/advanced-delivery-policy-configure
- なりすまし風に“見せる”工夫をする
→ 差出人名(From表示名)を本物に似せる
→ 本文のブランドロゴや文面でリアルさを演出
→ ただし、明らかな誤認を招かないよう注意が必要です
訓練メールが届くかどうかは、送信側のメールサーバーと、受信側のメールサーバーのそれぞれで、どのようなセキュリティ対策を行っているか次第になりますので、訓練実施担当者は、自社のメールサーバーが具体的にどのようなセキュリティ対策を行っているか?を必ず確認するようにしてください。
💡 なりすましを演出しつつ、届く訓練メールを設計するには?
実際の攻撃メールを模倣しつつも、メールが届かないと訓練になりません。
そのためには以下のような工夫が効果的です:
- ✅ 独自ドメインを使って「本物っぽさ」を再現する
例:support@example.co.jpを模したsupport-example.comを取得
- ✅ 受信者が“違和感”を持てる訓練設計にする
なりすましを再現するより、「注意深く見ると違和感がある」内容で教育効果を狙う
訓練メールの差出人アドレスを考える上では、訓練メールの送信に使用できる送信用のメールサーバーにどのサーバーを使えるか?と、受信者のメールサーバー側ではどのようなセキュリティ対策が行われているか?がポイントになります。
受信側がSPFなどの対策を行っている場合は、送信側のメールサーバーを正規のサーバーとして指定しているドメイン名しか差出人アドレスとして使えないことになります。
こうした制限事項があるかどうかをまず把握した上で、差出人アドレスを何にするか?を考えていくことが必要です。
🛡️ 届くことが第一歩。リアリティは工夫で補える
「届かない」なりすましメールでは、どれだけリアルでも意味がありません。
現代の訓練メール設計では、“届く”ことを優先しつつ、リアリティは表示名や本文の工夫で演出するスタイルが主流になっています。
| 注意点 | 内容 |
|---|---|
| SPF・DKIM・DMARCの影響 | 差出人偽装は高確率でブロックされる |
| 自社ドメイン or 訓練用ドメイン使用 | 認証を通すために必須 |
| 本物に似せる工夫 | 表示名・文面・ロゴでリアルさを演出 |
🎙️訓練メールの「リアルさ」と「届くこと」のバランス、取れていますか?
実在するドメイン名を訓練に使用することのリスクはゼロではないので、実在しない架空のアドレスを使って訓練メールを送信したいといったニーズがあることはよくわかります。
しかし、セキュリティ対策が進んでいる今では、どのようなメールでも届くというわけではない以上、届く条件を満たしているメールアドレスを差出人アドレスとして使用することを前提に、訓練メールの内容を考えていくことが必要です。
このように申し上げると「それでは訓練にならない」と仰る方もいらっしゃるのですが、実際はそんなことはありません。
攻撃側もセキュリティ対策をかいくぐり、メールが届く条件の範囲内で工夫を凝らし、私たちを騙そうとあの手この手で攻撃を仕掛けてきます。
攻撃側の視点に立って、限られた条件の範囲内で受信者を騙すにはどんな工夫ができるか?を是非考えていただければと思います。
差出人アドレスの設定で迷うことがあれば、弊社でお手伝いすることもできますので、周りに相談できる相手が居ないというご担当者様がおられましたら、弊社宛までにご相談ください。
