LRM、役員なりすましメールの巧妙化を警告 – DKIM認証通過しLINE誘導手口も

LRM株式会社は2026年2月16日、同社役員の実名を騙る「なりすましメール」の新たな事例を公開し、企業への注意喚起を行いました。これらのメールは送信ドメイン認証（DKIM）を通過するほか、個人のLINEグループへ誘導するなど、従来のセキュリティ対策をすり抜ける巧妙さを持つと指摘されています。

巧妙化する攻撃手口とその特徴

見出し

1 巧妙化する攻撃手口とその特徴
- 1.1 確認された具体的な攻撃事例
2 セキュリティフィルターをすり抜ける技術的特徴
3 情シス担当者・従業員が取るべき対策
4 LRMが提供するセキュリティ教育クラウド「セキュリオ」
- 4.1 ソース元

現在確認されているなりすましメールは、主に代表取締役や役員の実名を騙り、緊急の業務連絡を装って従業員へ接触を試みるものです。これらのメールは、ビジネスツール（メール、Slack、Teamsなど）から、コンプライアンスの目が届きにくい個人のLINE環境へやり取りを移行させようとする特徴が指摘されています。これは「CEO詐欺」や「投資詐欺」への誘導でよく見られる手口であり、クローズドな環境で金銭や情報を詐取する狙いがあると推測されています。

確認された具体的な攻撃事例

送信されたメールには、受信者が「本物」と誤認しやすいよう、組織の文脈に合わせた複数のパターンが確認されています。

【事例1】業務連絡を装い、個人のLINEグループへ誘導する攻撃

役員名義で「新しいプロジェクトのため」「業務上の対応」と称し、LINEグループの作成を指示する手口が最も多く確認されています。メール文面には「今後の業務プロジェクトに対応するため」「LINEグループの新規作成をお願いいたします」といったもっともらしい業務理由がつけられています。また、「現時点では、他の方をグループへ招待しないでください」と秘密保持を装い、第三者への相談を封じようとします。さらに、「グループ作成後、QRコードを生成し、このメールにご返信ください」と、メールへの返信アクションを要求する内容が含まれています。

送信者の特徴としては、送信者名（表示名）には社長をはじめとした実在の役員名が騙られており、送信元アドレスにはフリーメールアドレスが使用されている場合が多いとされます。署名には実在する社名や、過去に使用されていた屋号などが流用・模倣される場合があるとしています。

【事例2】「今オフィスにいますか？」という在席確認・返信要求

短文で返信を促し、会話のきっかけを作ろうとする「ドアノック」型の攻撃も確認されています。メール文面には「オフィスにいますか？」「昨夜お送りした通知を受け取りましたら、すぐにこのメールに返信してください」など、短文で緊急性を煽る内容が見られます。具体的な要件を書かず、まず返信させることで心理的なハードルを下げる狙いがあると推測されます。

送信者の特徴は、事例1と同様に送信者名（表示名）には社長をはじめとした実在の役員名が騙られており、送信元アドレスにはフリーメールアドレスが使用されている場合が多いと報告されています。

【事例3】パスワードの有効期限切れを騙るフィッシング

システム通知を装い、偽のログインサイトへ誘導して認証情報を窃取する攻撃も確認されています。メール文面には「お客様のパスワードは〇月〇日に有効期限が切れます」「アカウントを確認するには、以下のリンクにアクセスしてください」とアクションを急がせる内容が含まれています。また、「パスワード認証が完了しない場合、アカウントが停止される可能性があります」といった脅し文句も含まれるとしています。

送信者の特徴として、送信者名（表示名）はメールサポートやカスタマーサポートなど、正規のサポート部門を装うケースがあります。送信元アドレスは正規のドメインに見せかけたドメイン（no_reply@とある企業ドメイン.co.jpなど）や、TLD（トップレベルドメイン）に .com や .jp が使用されているケースがあるとのことです。誘導先URLには正規サービスを模した文字列（例: google）が含まれる場合があるとしています。

セキュリティフィルターをすり抜ける技術的特徴

今回確認された攻撃メールには、技術的に検知を回避するいくつかの特徴が見られます。

DKIM認証の通過（正規サーバーの悪用）
LINE誘導型のメールなどでは、本文にURLリンクを記載せず、単なるテキストメールとして送信することで、URLフィルターを回避します。また、フリーメールサービスなどの正規のメールインフラを経由することで、送信ドメイン認証（DKIM）を正規に通過し、「なりすましメール」でありながら「認証された正しいメール」として受信ボックスに届いてしまうと説明されています。
ドッペルゲンガードメインの利用
正規のドメインに極めて似ているが異なるドメイン（ドッペルゲンガードメイン）を取得・利用することで、受信者が一見しただけでは偽物だと気づかないよう偽装されているとのことです。

これらの特徴により、セキュリティ製品で迷惑メールとして隔離されず、通常の業務メールと同じように受信されてしまうため、従業員が誤って騙されるリスクが高まっています。

情シス担当者・従業員が取るべき対策

技術的なフィルターをすり抜けてくる攻撃に対しては、ツールによる防御に加え、「人の行動」による防御壁を作ることが効果的であるとLRMは推奨しています。

「LINE誘導＝詐欺」という共通認識の徹底
業務上の重要な指示やグループ作成が、事前のしかるべき合意なく、唐突に個人のLINEで行われることは考えにくいと言えます。「役員名義で個人のLINEに誘導されたら、それは例外なく詐欺である」という認識を全従業員へ周知することが重要です。
コミュニケーションチャネルの「多重化」による確認
怪しいメールや、文脈の不自然なメール（急にLINEへ誘導するなど）が届いた際は、そのメールに直接返信するのではなく、「普段使用している別のチャネル」で本人確認を行うことが推奨されます。例えば、社内チャット（SlackやTeamsなど）で本人にメンションを送る、あるいは内線電話をかけるといった具体的なアクションが挙げられています。「今、メール送りましたか？」の一言で、インシデントは未然に防げると同社は指摘しています。
従業員の「違和感」を育てる教育
システムですべてを止めることが難しい現在、最終的な防波堤は「人の目」であるとされています。eラーニングサービスや集合研修を通じて、最新の攻撃トレンド（CEO詐欺やLINE誘導の手口など）を周知することで、従業員が「なにか変だな」と気付ける感性を養うことが、組織を守る力となると説明しています。

LRMが提供するセキュリティ教育クラウド「セキュリオ」

LRMは、セキュリティ教育を容易に実施できるクラウドサービス「セキュリオ」を提供しています。「セキュリオ」は、「標的型攻撃メール訓練」でセキュリティへの関心を引き、「eラーニング」で知識を習得し、「セキュリティアウェアネス」で日々の習慣に取り込んでもらうといった複数機能のサイクルを回すことで、従業員の行動変容を促すことができます。

セキュリオサービスサイト：
https://www.lrm.jp/securio/

LRMは「Security Diet®」を企業理念に掲げ、情報セキュリティに関するプロの知見を提供するとともに、意識の向上から人や組織の行動変容を促すことで、持続可能な情報セキュリティ体制構築と企業価値向上に貢献しています。同社は、約2,200社を超える導入実績があるセキュリティ教育クラウド「セキュリオ」事業、ならびに年間約580社（2023年8月1日～2024年7月31日）の支援実績がある情報セキュリティコンサルティング事業を展開しています。