LRM、役員の実名を騙る「なりすましメール」の事例を公開し注意喚起。DKIM認証を通過し、個人のLINEグループへ誘導する手口などを確認
LRM株式会社(本社:兵庫県神戸市、代表取締役:幸松 哲也、以下LRM)は、2025年12月頃より、弊社役員や従業員、関係者を装った「なりすましメール」が、複数の顧客企業および弊社環境にて確認されていることを公表し、注意喚起いたします。
これらのメールは、送信ドメイン認証(DKIM)を通過するなど技術的な巧妙化が進んでおり、従来のスパムフィルタを潜り抜けて受信ボックスに到達する恐れがあります。LRMは、具体的な手口と詳細な特徴を公開することで、企業のセキュリティ対策支援を強化します。
■本件の概要と攻撃の手口
現在確認されている「なりすましメール」は、主に代表取締役や役員の実名を騙り、緊急の業務連絡を装って従業員へ接触を試みるものです。 特徴的なのは、ビジネスツール(メール、Slack、Teams等)から、コンプライアンスの目が届きにくい個人のLINE環境へやり取りを移動させようとする点です。
これは「CEO詐欺」や「投資詐欺」への誘導でよく見られる手口であり、クローズドな環境で金銭や情報を詐取する狙いがあると推測されます。
■確認された攻撃メールの詳細事例
送信されたメールについて、受信者が「本物」と誤認しやすいよう、組織の文脈に合わせたいくつかのパターンが確認されています。
【事例1】業務連絡を装い、個人のLINEグループへ誘導する攻撃
役員名義で「新しいプロジェクトのため」「業務上の対応」と称し、LINEグループの作成を指示します。もっとも多く確認されている手口です。
-
メール文面の特徴:
-
「今後の業務プロジェクトに対応するため」「LINEグループの新規作成をお願いいたします」といったもっともらしい業務理由をつける。
-
「現時点では、他の方をグループへ招待しないでください」と秘密保持を装い、第三者への相談を封じる。
-
「グループ作成後、QRコードを生成し、このメールにご返信ください」と、メールへの返信アクションを要求する。
-
-
送信者の特徴:
-
送信者名(表示名):社長をはじめとした実在の役員名を騙っている場合が多い。
-
送信元アドレス:フリーメールアドレスが使用されている場合が多い。
-
署名:実在する社名や、過去に使用されていた屋号などが流用・模倣される場合がある。
-
【事例2】「今オフィスにいますか?」という在席確認・返信要求
短文で返信を促し、会話のきっかけを作ろうとする「ドアノック」型の攻撃です。
-
メール文面の特徴:
-
「オフィスにいますか?」「昨夜お送りした通知を受け取りましたら、すぐにこのメールに返信してください」など、短文で緊急性を煽る。
-
具体的な要件を書かず、まず返信させることで心理的なハードルを下げる狙いがある。
-
-
送信者の特徴:
-
送信者名(表示名):社長をはじめとした実在の役員名を騙っている場合が多い。
-
送信元アドレス:フリーメールアドレスが使用されている場合が多い。
-
【事例3】パスワードの有効期限切れを騙るフィッシング
システム通知を装い、偽のログインサイトへ誘導して認証情報を窃取する攻撃です。
-
メール文面の特徴:
-
「お客様のパスワードは〇月〇日に有効期限が切れます」「アカウントを確認するには、以下のリンクにアクセスしてください」とアクションを急がせる。
-
「パスワード認証が完了しない場合、アカウントが停止される可能性があります」と脅し文句が含まれる。
-
-
送信者の特徴:
-
送信者名(表示名):メールサポート、カスタマーサポート など、正規のサポート部門を装う。
-
送信元アドレス:正規のドメインに見せかけたドメイン(no_reply@とある企業ドメイン.co.jp など)や、TLD(トップレベルドメイン)に .com や .jp が使用されているケースがある。
-
誘導先URL:正規サービスを模した文字列(例: ******google)が含まれる場合がある。
-
■なぜ、セキュリティフィルターをすり抜けるのか(技術的特徴)
今回確認された攻撃メールには、技術的に検知を回避する以下の特徴が見られます。
-
DKIM認証の通過(正規サーバーの悪用)
LINE誘導型のメールなどでは、本文にURLリンクを記載せず、単なるテキストメールとして送信することで、URLフィルターを回避します。また、フリーメールサービス等の正規のメールインフラを経由することで、送信ドメイン認証(DKIM)を正規に通過し、「なりすましメール」でありながら「認証された正しいメール」として受信ボックスに届いてしまいます。 -
ドッペルゲンガードメインの利用
正規のドメインに極めて似ているが異なるドメイン(ドッペルゲンガードメイン)を取得・利用することで、受信者が一見しただけでは偽物だと気づかないよう偽装されています。
これらの特徴により、セキュリティ製品で「迷惑メール」として隔離されず、通常の業務メールと同じように受信されてしまうため、従業員が誤って騙されるリスクが高まっています。
■情シス担当者・従業員が取るべき対策
技術的なフィルターをすり抜けてくる攻撃に対しては、ツールによる防御に加え、「人の行動」による防御壁を作ることが効果的です。LRMでは以下の対策を推奨します。
-
「LINE誘導=詐欺」という共通認識の徹底
業務上の重要な指示やグループ作成が、事前のしかるべき合意なく、唐突に個人のLINEで行われることは考えにくいと言えます。「役員名義で個人のLINEに誘導されたら、それは例外なく詐欺である」という認識を全従業員へ周知してください。 -
コミュニケーションチャネルの「多重化」による確認
怪しいメールや、文脈の不自然なメール(急にLINEへ誘導するなど)が届いた際は、そのメールに直接返信するのではなく、「普段使用している別のチャネル」で本人確認を行ってください。
- 具体的なアクション: 社内チャット(例:Slack/Teams)で本人にメンションを送る、あるいは内線電話をかける。「今、メール送りましたか?」の一言で、インシデントは未然に防げます。 -
従業員の「違和感」を育てる教育
システムですべてを止めることが難しい現在、最終的な防波堤は「人の目」です。eラーニングサービスや集合研修を通じて、最新の攻撃トレンド(CEO詐欺やLINE誘導の手口)を周知することで、従業員が「なにか変だな」と気付ける感性を養うことが、組織を守る力となります。
■セキュリティ教育クラウド「セキュリオ」について
「セキュリオ」は、セキュリティ教育をだれでもかんたんに行うことができるクラウドサービスです。
「標的型攻撃メール訓練」でセキュリティへの関心を引き、「eラーニング」で知識を習得し、「セキュリティアウェアネス」で日々の習慣に取り込んでもらうといった複数機能のサイクルを回すことで、従業員の行動変容を促すことができます。
セキュリオサービスサイト:https://www.lrm.jp/securio/
LRMについて
「Security Diet®」を企業理念に、情報セキュリティに関するプロの知見を提供するとともに、意識の向上から人や組織の行動変容を促すことで、持続可能な情報セキュリティ体制構築と企業価値向上に貢献します。
2,200社を超える導入実績があるセキュリティ教育クラウド「セキュリオ」事業、ならびに年間580社(※)・19年以上の支援実績がある情報セキュリティコンサルティング事業を展開し、日本で一番身近な情報セキュリティ会社となるために日々活動しています。
※ 2023年8月1日~2024年7月31日のコンサルティング支援社数
会社名:LRM株式会社
本社 :兵庫県神⼾市中央区栄町通1-2-10 読売神⼾ビル5F
代表者:代表取締役 幸松哲也
設⽴ :2006年12⽉
公式サイト :https://www.lrm.jp/
事業 :セキュリティ教育クラウド「セキュリオ」の開発提供、情報セキュリティコンサルティング支援
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
