スパムメール セキュリティー

【徹底解説】本文が空白のなりすましメール。なぜ認証を通過するのか?その巧妙な手口と対策

はじめに

最近、件名に「株式会社○○」と記載されているにも関わらず、本文が完全に空白のメールを受信したことはありませんか? 一見すると「送信ミスかな?」と思ってしまいそうなこのメール、実は非常に危険な偵察攻撃である可能性が極めて高いのです。

今回は、実際のメールソースコードを解析した結果から見えてきた、犯人の巧妙な手口と、なぜセキュリティ認証(SPF/DKIM/DMARC)をすべて通過してしまうのか、そして私たちが取るべき対策について詳しく解説します。

スパムメール

このメールの正体 「偵察攻撃」とは?

このメールは「生存確認(メールアドレスが有効かどうかの確認)」または「返信を誘発させるための偵察攻撃(Reconnaissance)」である可能性が極めて高いです。

犯人の目的は、このメールアドレスが:

  • 現在も使用されているか
  • メールを読んでいる人がいるか
  • 返信してくれる可能性があるか

を確認することです。この情報は、後の本格的な詐欺メールやフィッシング攻撃のための「カモリスト」として利用されます。

ソースコード解析で判明した4つの危険な兆候

実際のメールソースコードを解析した結果、以下の非常に危険な兆候が見つかりました。

1. 罠が仕掛けられた「Reply-To(返信先)」【最重要】

これが最も危険なポイントです。

メールのヘッダー情報を見ると:

  • 送信元(From)Brandow1991Novia52@hotmail.com (ランダムな英数字のHotmail)
  • 返信先(Reply-To)herbwymariweldonl@gmail.com (全く別のGmailアドレス)

もし「本文がありませんよ?」と親切心で返信してしまうと、メールは送信元ではなく犯人が用意した別のGmailアドレスに届きます。

その結果:

  • 「このメールアドレスは現在使われており、反応してくれる人がいる」と判断される
  • 送信先のアドレスが「カモリスト」に登録される
  • その後、本格的な詐欺メールやなりすましメールが大量に届くようになる

2. 自社関係者を装ったなりすまし

メールの表示情報を見ると:

  • 表示名: 「◯◯」
  • 件名: 「株式会社◯◯◯」
  • 受信者:  support@examplecom

受信者のドメインや会社名に合わせて、表示名と件名が巧妙に偽装されています。しかし、送信元のメールアドレス(Hotmail)を見れば、内部の人間ではないことは明白です。

この手口は「ドメイン名やメールアドレスまでは確認しない」という人間の心理的な隙を突いています。

3. スパム配信ツールの使用

メールヘッダーには以下の記述があります:

X-Mailer: Supmailer 46.0.3

「Supmailer」は、大量のメールを一斉送信するためによく使われるソフトウェアです。通常のビジネスメールでこれを使うことはまずありません。

このツールを使うことで、犯人は:

  • 大量のターゲットに一度に送信できる
  • 表示名や件名を受信者ごとにカスタマイズできる
  • 組織的な攻撃を効率的に実行できる

4. 本文が白紙である理由(Base64デコード結果)

ソースコード下部の暗号化されたような文字列(Base64エンコード部分)を復元すると、以下のようになっています:

  • テキストパート: 改行のみ
  • HTMLパート<p>&nbsp;</p> (空白スペースが1つあるだけ)

これらは「意図的な白紙」です。その目的は:

目的A: メーラーのフィルターをすり抜けるため

  • 怪しいキーワード(「お金」「当選」「確認してください」など)を含めない
  • スパムフィルターの検知を回避する

目的B: 受信者に返信を促すため

  • 「表示エラーかな?」
  • 「送り忘れかな?」
  • 「親切に教えてあげよう」

と思わせて返信させるための心理的トリック

なぜSPF/DKIM/DMARCをすべて通過するのか?

多くの方が疑問に思うのが、「なぜこんな怪しいメールがセキュリティチェックをすべて通過してしまうのか?」という点です。

答え: 犯人が「正規のMicrosoft(Hotmail)のメールサーバー」を使って送信しているから

重要なのは、これらのセキュリティ技術は「メールの送信経路が正しいか」を確認するものであり、「送信者が善人か悪人か」を判断するものではないという点です。

1. SPFが通過した理由(IPアドレスの正当性)

仕組み: 「このメールを送ってきたサーバー(IPアドレス)は、そのドメイン(hotmail.com)の所有者から許可されているか?」を確認します。

今回のケース: 犯人は正規のHotmailアカウントを取得し、正規のOutlookサーバー(52.103.10.89)から送信しました。

判定: 送信元IPはMicrosoftのものであり、送信ドメインもhotmail.comであるため、正規のルートとみなされPASSします。

2. DKIMが通過した理由(改ざんの有無)

仕組み: 「メールに付与された電子署名が正しいか(途中で改ざんされていないか)」を確認します。

今回のケース: 犯人が送信ボタンを押した際、Microsoftのサーバーが自動的に正規の署名(d=hotmail.com)を付与しました。

判定: 受信側で署名を検証した結果、間違いなくMicrosoftが発行した署名であるため、PASSします。

3. DMARCが通過した理由(なりすましの整合性)

仕組み: 「メールの表示上の差出人(Header From)」と、「SPF/DKIMで認証されたドメイン」が一致しているかを確認します。

今回のケース:

  • 表示上の差出人: Brandow1991Novia52@hotmail.com
  • 認証されたドメイン: hotmail.com

判定: ドメインが完全に一致(Alignment)しているため、PASSします。

セキュリティの死角 「システムの判定」と「人間の認識」のギャップ

なぜ私たちは騙されてしまうのでしょうか? それは、これら3つの技術があくまで「メールアドレス(@hotmail.com)」の正当性を証明するものだからです。

しかし、犯人が偽装しているのはメールアドレスではなく、「表示名(◯◯◯)」と「件名(株式会社◯◯◯◯)」です。

セキュリティシステムの判定

「これは間違いなくHotmailから来たメールです(安全)。」

人間の目の錯覚

「名前に『◯◯◯』って書いてあるから、あの会社の人かな?(危険)」

犯人はこの「システムの判定」と「人間の認識」のギャップを突いています。

フリーメール(GmailやHotmail)を使った詐欺メールがなくならないのは、正規のサーバーを使えばセキュリティチェックを簡単に通過できてしまうためです。

推奨される対応:5つのステップ

このようなメールを受信した場合、以下の対応を取ってください。

1. 絶対に返信しない

「本文がありません」「送信ミスですか?」等の返信は犯人の思う壺です。親切心は禁物です。

2. 添付ファイルやリンクがないか再確認

今回は白紙ですが、今後同様の手口でウイルス付きメールやフィッシングリンクが来る可能性があります。

3. メールを完全に削除する

迷惑メール報告をしてから削除することをお勧めします。

4. Fromアドレスのドメイン(@の後ろ)を目視確認する習慣をつける

  • 「株式会社ムラカミ」からのメールなのに@hotmail.com?
  • 銀行からのメールなのに@gmail.com?

このような不一致に気づく習慣が最強の防御策です。

5. Reply-To(返信先)が異なる場合は要警戒

メールクライアントによっては返信先を確認できます。送信元と返信先が異なる場合は、ほぼ確実に詐欺メールです。

今後の対策:組織として個人として

組織としての対策

  1. 従業員教育の徹底

    • 表示名だけで判断しない
    • メールアドレスのドメインを必ず確認する
    • 空白メールには返信しない

  2. メールセキュリティゲートウェイの導入

    • フリーメールからの社内なりすましを検知するルール設定
    • Reply-Toの差異を警告する機能

  3. インシデント報告体制の構築

    • 怪しいメールを受信したら情報システム部門に報告
    • 組織全体で情報を共有

個人としての対策

  1. 表示名を信用しない

    • 必ずメールアドレス(@以降のドメイン)を確認

  2. 親切心を悪用されないように注意

    • 「本文がない」メールに返信しない
    • 不明なメールは無視して削除

  3. 二要素認証の徹底

    • 万が一情報が漏れても被害を最小限に

  4. 定期的なセキュリティ意識の更新

    • 詐欺の手口は日々進化しています
    • 最新の情報をキャッチアップ

上記内容が理解できない場合 AIでチェック

メールヘッダーを、コピーしてどの生成AIでも結構です。「このメールは安全か?」のプロンプトの後ろに貼り付けて、AIに送信して下さい。

正規メールかSPAMか判断してくれます。

まとめ

今回解析したメールは、典型的な「偵察行為(Reconnaissance)」です。犯人は:

  • 正規のメールサーバーを使用することでセキュリティ認証を通過
  • 表示名と件名を偽装することで受信者を欺く
  • 空白の本文で返信を誘発
  • Reply-Toを別アドレスに設定して反応を収集

という、非常に巧妙な手口を使っています。

重要なのは、「認証は通っているが怪しい」メールを自動で振り分けるのは難しいということです。結局のところ、「Fromアドレスのドメイン(@の後ろ)」を目視確認する習慣が最強の防御策となります。

Googleの警告(赤いバナー)は正しく機能しています。今回のケースでは、無視して削除するのが正解です。

最後に

サイバー犯罪者は、私たちの「親切心」「うっかり」「面倒くさがり」といった人間の心理的な隙を常に狙っています。技術的なセキュリティ対策も重要ですが、最終的には一人ひとりのセキュリティ意識が最も重要な防御線となります。

怪しいメールを受信したら、まずは立ち止まって確認する習慣を身につけましょう。判断がつかなければ、AIの助けを借りましょう。

怪しいと感じたら、それは正しい直感です。迷わず削除してください。

-スパムメール, セキュリティー

© 2026 ムラカミドットプロ