企業のWebサイト運用やドメイン管理をしていると、ある日突然、自社のドメイン(@以降のメールアドレス)を送信元にした不審なメールが、取引先や自分宛てに届く——そんな事案に出くわすことがあります。第一印象は、たいてい「乗っ取られた!?」です。
先日も、クライアント企業から、かなり緊迫したご相談をいただきました。「自社ドメインのアドレスから不審なメールが届いた。エックスサーバーに不正アクセスされて、アカウントを乗っ取られたんじゃないか」と。今回はこの一件を題材に、どこを見て、どう原因を突き止めたのかを書いてみます。飯田市でホームページ制作やドメイン運用に関わる事業者の方が、いざというとき落ち着いて対処するための参考になればと思います。
届いたのは、社内連絡を装った巧妙な詐欺メール
実際に届いたメールは、こんな内容でした(個人情報は伏せています)。
件名:【業務経費削減のご案内】 差出人:株式会社[ひらがなの自社名] [実在しない担当者名] <info@[自社のドメイン]>
お疲れ様です。業務連絡の効率化のため、受信後にLINEのQRコードを本メール宛に返信してください。確認次第、順次追加し、今後の連絡はLINEで行います。
社内の業務連絡を装って、LINEのQRコード——つまり重要なアカウント情報——を巧みに引き出そうとする、なかなか悪質なやり口です。
こういうメールが「自社のドメイン」から届くと、担当者や経営者は「情報が漏れてるんじゃ」「メールの中身を覗かれてるんじゃ」と強い不安に襲われます。地域密着でやっている会社ほど、ドメインの信用が傷つくのは死活問題。だからこそ、一刻も早く、正確に状況をつかむ必要がありました。
「乗っ取り」なら必ずあるはずの痕跡が、どこにもなかった
ご相談を受けて最初に見にいったのは、サーバーの管理画面と、一次情報になるログの状況です。
もし本当に「サーバーの乗っ取り(不正アクセス)」が起きているなら、ふつうは次のような痕跡が残ります。
- エックスサーバー側の不正アクセス検知が作動している
- 管理画面の「お知らせ」や緊急通知に、アカウントロック等の警告が出ている
- 不正ログインに伴って、メールアカウントのパスワードが強制変更されている
ところが、管理画面を確認しても異常を知らせる通知は一切なし。サーバー側の検知ログも存在しません。クライアントが心配していた「メールの覗き見」を裏づけるような、外部への不審なデータ転送の形跡も見当たりませんでした。
「侵入された形跡はないのに、なぜ自社ドメインを名乗るメールが届くのか」。この一見矛盾した状況をほどくには、もう一歩、仕組みそのものの検証に踏み込む必要がありました。
真相は「乗っ取り」ではなく「差出人の偽装」だった
謎を解くカギは、メール送信の根っこの仕組み(SMTPという通信のルール)にありました。
検証の結果、今回の正体は「サーバーの乗っ取り」ではなく、メールソフト(OutlookやGmailなど)の画面上でだけ該当ドメインが表示されていて、実際にはまったく別のドメインから送られている——いわゆるなりすましメールだと判明しました。
これは「郵便の手紙」にたとえると分かりやすいです。
ポストに手紙を投函するとき、封筒の裏に書く「差出人の住所・氏名」は、書く人が好きなように偽れますよね。受け取った側は、封筒の裏(=メールソフトの画面)に自社の名前があれば驚きます。でもそれは、誰かが自社の名前を勝手に書いた手紙を、まったく別のポスト(別のドメイン)から出しただけ。自社の敷地や金庫(=サーバー)に泥棒が入ったわけではありません。
つまり、悪意のある第三者が世界のどこかにある別のメールサーバーを使い、差出人の表示名だけをクライアントのドメインに偽装して送っていた。これが事実に即した真相でした。したがって、サーバーに侵入された形跡はなく、メールデータが漏れている可能性も極めて低い、という結論に至りました。
過剰に不安を煽らず、事実で安心を渡すための3つの手順
この手のトラブルで、サポート側がやりがちな失敗があります。過剰に不安を煽る言い方をしたり、的外れな対策に走ったりすることです。私が大事にしている対応の手順を、3つにまとめておきます。
事実と可能性を、正確に切り分けて伝える。 「100%安全」「漏洩は一切ない」と言い切る表現は避けつつ、データと挙動にもとづいて「侵入の可能性は極めて低い」という客観的な事実を、まず素早く伝える。これだけで相手の不安はだいぶ落ち着きます。
「通知が来ていないこと」自体が安心材料だと説明する。 エックスサーバーのような堅牢なレンタルサーバーは、万一の乗っ取り時には自動検知やパスワードの強制変更が走ります。だからこそ、「警告通知が一つも来ていない」という事実そのものが、安全性の一つの証明になる——この論理を示すことが大切です。
いきなりDNSを触らない。まず現状を確認する。 状況によっては「すぐにDNS設定(SPF/DKIM/DMARC)を変えるべき」と一足飛びに判断しがちです。でも、すでにサーバー側で基本設定が有効になっている場合、焦って触ると通常のメール送受信に支障が出るリスク(=機会損失)があります。まずは今の設定値を冷静に確認するのが先決です。
表面の現象だけで判断しない。仕組みまで降りて検証する
今回の件が示しているのは、表面の現象(メールソフトの表記や本文の内容)だけで判断すると、原因を見誤り、不要なシステム変更や業務停止といった二次被害を招きかねない、ということです。
大事なのは、データ上の違和感を見逃さず、サーバーの仕様や通信の仕組みまで泥臭く降りて検証し、論理的な根拠をもって対策を導くこと。「乗っ取られた!」という第一印象のまま動いていたら、まったく違う結末になっていたかもしれません。
私たちは飯田市を中心に、ホームページ制作やWeb運用をサポートしています。ただ見た目のきれいなサイトを作るだけでなく、今回のようなセキュリティのトラブルやドメイン管理の現場でも、技術的な仕様にもとづいた誠実でスピーディな検証を行います。地元の事業者の皆さんが安心して本業に集中できるよう、Webのインフラから日々の運用までトータルで支えるのが私たちの役割です。飯田市・南信州でWebまわりの不安やお困りごとがあれば、どうぞお気軽にご相談ください。
飯田市でホームページ制作・広告運用をサポート|デザインスタジオiR
牧内理恵
まきうちりえ
飯田市在住、広告制作歴20年以上。これまで200名以上のクライアント様と向き合い、100件以上のサイト制作を手掛けてきたデザイナー兼エンジニアの牧内理恵です。御社の強みを引き出し、業績アップに繋がるWebサイト・ネットショップ・販促ツールをご提案します。拠点とする長野県内はもちろん、全国各地からのご依頼にも柔軟に対応しております。
「相談してよかった」と言っていただける、飯田下伊那地域のパートナーとして。
長野県飯田市を拠点に、ホームページ制作やECサイト構築、Web運用のトラブル解決を承っています。20年以上のキャリアで培った「伝わるデザイン」と「確かな技術」で、御社の業績アップを支えます。飯田・下伊那エリアはもちろん、全国からのオンライン相談も大歓迎です。
「ホームページを作りたい」「ホームページをリニューアルしたい」といったご依頼もお気軽にお声がけください。
※強引な勧誘は一切ありませんので、安心してお悩みをお聞かせください。
