メールを開いてみたら、自分のメールアドレスから送られてきたと思われるスパムメールや脅迫メールだったという経験はありませんか？あなたは一人ではないのです。メールアドレスを偽装することは「なりすまし」と呼ばれ、残念ながらどうすることもできません。

スパマーがあなたのメールアドレスを詐称する方法

なりすましとは、メールアドレスを偽造し、送信元が本人以外であるかのように見せかける行為です。多くの場合、なりすましは、銀行やその他の金融サービス機関など、知り合いや同僚から送られてきたメールであると思わせるために行われます。

残念ながら、電子メールのなりすましは非常に簡単です。メールシステムには、「差出人」欄に入力されたメールアドレスが本当にあなたのものであるかどうかを確認するためのセキュリティチェック機能がないことが多いのです。郵便に入れる封筒に似ていますね。郵便局が返送できないことを気にしないのであれば、返送先の住所に好きなことを書けばいいのです。また、郵便局は、あなたが封筒に書かれた返送先の住所に実際に住んでいるかどうかを知る術がない。

電子メールも同じような仕組みになっています。Outlook.comなど一部のオンラインサービスでは、メールを送信する際に送信者のアドレスに注意を払うようにしているため、アドレスを偽造してメールを送信することを防いでいる場合があります。しかし、好きなように記入できるツールもあります。これは、独自のメール（SMTP）サーバーを作成するのと同じくらい簡単です。詐欺師が必要とするのはあなたの住所だけであり、それは多くのデータ漏洩のうちの1つから購入する可能性が高いのです。

なぜ住所を偽造するのでしょうか？

詐欺師は通常、2つの理由のうちの1つで、あなたのアドレスから来たように見せかけるメールを送ってきます。1つ目は、迷惑メール対策を回避してくれることを期待してのことです。自分にメールを送った場合、おそらく何か重要なことを思い出そうとし、そのメールがスパムとしてラベル付けされることを望んでいないはずです。つまり、詐欺師はあなたのアドレスを使うことで、あなたのスパムフィルターが気づかず、メッセージが届くことを期待しているのです。送信元と主張するドメイン以外から送信されたメールを識別するツールは存在しますが、メールプロバイダーがそれを実装する必要があり、残念ながら多くのプロバイダーは実装していません。

詐欺師があなたのメールアドレスを詐称する第二の理由は、正当性を得るためです。アカウントが侵害されたことを主張する偽の電子メールは珍しくありません。"ハッキング "されたアクセスの証拠として、「このメールを自分に送った」というのが使われます。また、漏洩したデータベースから抽出したパスワードや電話番号も証拠として含まれることがあります。

そして、通常、詐欺師は、あなたの情報やウェブカメラから撮影した写真を流出させたと主張します。そして、身代金を払わなければ、あなたの親しい人にデータを漏らすと脅すのです。最初はもっともらしく聞こえますが、結局のところ、彼らはあなたの電子メールアカウントにアクセスしているようなのです。しかし、それが詐欺師が証拠を捏造するための鍵なのです。

メールサービスがこの問題を解決する方法

誰でも簡単に返送先を偽造できることは、今に始まった問題ではありません。メールプロバイダーは、迷惑メールに悩まされたくないので、この問題を解決するためのツールが開発されています。

1つ目は、いくつかの基本原則を用いたSPF（Sender Policy Framework）です。各メールドメインには、正しいホスティングサーバーやコンピューターにトラフィックを誘導するためのドメインネームシステム（DNS）レコードのセットがあります。 SPFレコードは、DNSレコードと連動して動作します。メールを送信すると、受信側のサービスは、お客様が提供したドメインアドレス（@gmail.com）とお客様のオリジナルのIPおよびSPFレコードを比較し、それらが一致することを確認します。Gmailアドレスからメールを送信した場合、そのメールはGmailが管理するデバイスから送信されたことも表示されるはずです。

残念ながら、SPFだけでは解決しないのです。誰かが各ドメインでSPFレコードを正しく管理する必要がありますが、それはいつも起こることではありません。また、詐欺師がこの問題を解決するのは簡単です。メールを受信した際、メールアドレスではなく、名前しか表示されない場合があります。スパマーは、一方のメールアドレスを実名で記入し、もう一方にSPFレコードに一致する送信アドレスを記入する。だから、スパムとは思わないし、SPFもしない。

また、企業はSPFの結果をどうするか決めなければならない。SPFは、情報をどのように扱うかについてのルールを持っているわけではなく、チェックの結果を提供するだけである。

これらの問題に対処するため、マイクロソフトやグーグルなどは、DMARC（Domain Based Message Authentication, Reporting and Conformance）という検証システムを導入しています。DMARCはSPFと連携し、スパムの可能性があると判断されたメールに対してルールを作成する。 DMARCはまずSPFスキャンをチェックする。失敗した場合は、管理者が別の方法で設定しない限り、メッセージの通過をブロックする。SPFを通過しても、DMARCではFrom:に表示されるメールアドレスがメールの送信元ドメインと一致するかどうかをチェックします（これをアライメントと言います）。

残念ながら、マイクロソフト、フェイスブック、グーグルのサポートがあっても、DMARCはまだ広く使われていないのが現状です。Outlook.comやGmail.comのアドレスをお持ちの方は、DMARCの恩恵を受けられるかもしれません。しかし、2017年末の時点で、フォーチュン500社のうち検証サービスを導入しているのは39社にとどまっています。

自己宛ての迷惑メールの対処法

残念ながら、スパマーによるあなたのアドレスの偽装を防ぐ方法はありません。お使いのメールシステムがSPFとDMARCの両方を実装しており、これらの標的型メールを目にすることがないことを祈ります。迷惑メールに直行するはずです。もしあなたのメールアカウントが迷惑メールオプションをコントロールできるのであれば、それをより厳しくすることができます。ただ、正規のメールを紛失する可能性もあるので、迷惑メールボックスをこまめにチェックするようにしましょう。

万が一、自分からなりすましメッセージを受け取ったとしても、無視してください。添付ファイルやリンクはクリックせず、要求された身代金も支払わないようにしてください。スパムやフィッシングとしてマークしたり、削除したりするだけでよいのです。アカウントが流出したことが心配な場合は、セキュリティのためにロックをかけてください。パスワードを再利用する場合は、現在のパスワードを共有している各サービスでパスワードをリセットし、各サービスに新しい固有のパスワードを設定してください。もし、多くのパスワードをメモリに保存しておくことに抵抗がある場合は、パスワードマネージャーの使用をお勧めします。

もし、あなたが連絡先から偽造メールを受け取ることを心配しているなら、メールヘッダの読み方を学ぶのに時間をかける価値があります。