祢屋 満彦中小企業のフィッシングメール対策|Exchange Onlineで整える3つの設定
「社長、さっきおかしなメールが届いたんですが、リンクを押してしまいました」
ある朝、こんな報告が社員から届いたとしたら。頭の中が真っ白になり、「何かやられたのか」「取引先に被害が出ないか」「どこに連絡すればいいのか」と不安が押し寄せてくる。でも、何から手をつければいいかわからない。
IT担当が不在の会社では、この瞬間に対処できる人間がいません。だからこそ、「その日が来る前」に手を打っておくことが必要です。この記事では、Microsoft 365(Exchange Online)を使っている中小企業が、フィッシングメール対策として今すぐ整えるべき設定を、社長にわかる言葉でお伝えします。
中小企業のフィッシング被害が急増している、3つの理由
フィッシングメールとは、実在する銀行・官公庁・取引先などを装って送られてくる偽メールのことです。本物そっくりのメールでリンクをクリックさせ、パスワードや口座情報を盗んだり、社内システムへの侵入口を開けさせたりすることを目的としています。
この被害が今、中小企業を直撃しています。理由は3つあります。
1つ目は件数の急増です。フィッシング対策協議会の報告によると、2024年のフィッシング詐欺報告件数は年間171万件を超え、前年比で約44%増加しました。月ベースでも過去最多を更新し続けています。
2つ目は手口の高度化です。かつては「日本語がおかしい」「見覚えのない差出人」でフィッシングメールを見抜けました。しかし今は、生成AI(人工知能)によって自然な日本語の文章が簡単に作れる時代です。取引先の名前をかたり、本物そっくりの書式で届くメールが増えており、普段からメールに慣れているベテラン社員でも気づかずにクリックしてしまうケースが増えています。
3つ目は中小企業が狙われやすい構造です。大企業と比べてセキュリティ対策が手薄になりがちな中小企業は、攻撃者にとって「入りやすいターゲット」です。また、取引先の大企業への侵入口として、自社が知らない間に他社への攻撃に利用されるケースも報告されています。社員一人のクリックが、自社だけでなく取引先への被害につながるリスクもあります。
「Microsoft 365を入れているから安心」が危険な理由
Microsoft 365(Exchange Online)には、標準で「Exchange Online Protection(EOP)」というメールセキュリティの仕組みが搭載されています。スパムやマルウェア(悪意あるプログラム)を自動でブロックし、フィッシングと疑われるメールを迷惑メールフォルダに移動してくれる機能です。
「うちはMicrosoft 365を使っているから大丈夫」と感じている社長も多いかもしれません。しかし、この認識には2つの落とし穴があります。
1つ目の落とし穴は、標準機能だけでは防ぎきれない脅威があることです。EOPが得意とするのは「すでに知られている脅威」のブロックです。特定の会社・特定の人物を狙い撃ちにする標的型攻撃や、日々進化する新しい手口のフィッシングメールには、標準機能だけでは対応しきれないのが現状です。
2つ目の落とし穴は、設定が「初期状態のまま」になっている会社が多いことです。Microsoft 365を契約した時点では、フィッシング対策として本来有効にしておくべき設定がオフになっている場合があります。導入してから誰も設定を確認していない会社では、「使えるはずの防御機能が眠ったまま」になっているケースが非常に多くあります。これは鍵のかかる扉があるのに、鍵をかけ忘れている状態です。
Exchange Onlineで今すぐ整えるべきフィッシング対策3選
フィッシングメール対策の核となるのが、「なりすまし対策の3点セット」と呼ばれるSPF・DKIM・DMARCの設定です。それぞれが別々の役割を担っており、3つ揃って初めて「仕組みで守れている状態」になります。
①SPFレコード設定|自社ドメインのなりすましを防ぐ
SPF(エスピーエフ)とは、「うちの会社名義のメールを送る権限があるのはこのサーバーだけです」とインターネット上に登録しておく設定です。メールの「差出人認証設定」とも言えます。
これが設定されていないと、まったく関係のない第三者が「あなたの会社のアドレス」を騙って取引先にフィッシングメールを送ることができてしまいます。自社が攻撃される側だけでなく、「自社の名前を使った攻撃メールの発信元にされない」という意味でも、SPFは全ての企業に必須の設定です。
②DKIM設定|メールが本物かどうかを証明する電子署名
DKIM(ディーキム)は、送信したメールに「電子的な署名」を付加する技術です。受け取った側のシステムがこの署名を確認することで、「このメールは確かに本物の差出人から送られてきたもので、途中で内容が書き換えられていない」と証明できます。
SPFが「送信元サーバーの正当性」を証明するものだとすると、DKIMは「メールの中身が本物かどうか」を証明するものです。2つが重なることで、なりすましへの防御がより強固になります。
③DMARC設定|なりすましを検知したら自動でブロック
DMARC(ディーマーク)は、SPFやDKIMの認証に失敗したメール、つまり「正体不明のなりすましメール」をどう扱うかを受け取る側のシステムに指示するルールです。
設定は3段階で行います。最初は「問題があっても何もしない(まず状況を把握する)」という監視モードから始め、問題がないことを確認しながら「迷惑メールフォルダへ移動」「完全に受信拒否」と段階的に強化していきます。
この3つを正しく整えることで、フィッシングメールの多くは受信者の手元に届く前にブロックされるか、届いても「このメールは疑わしい」と警告が表示されるようになります。社員の注意力に頼るのではなく、仕組みが自動で止めてくれる状態です。
なお、これらはすでに契約しているMicrosoft 365の機能を「正しく使いこなす」作業です。新しいシステムを購入する必要はありません。ただし、DNS(インターネット上の住所録)への登録など技術的な作業を伴う部分もあるため、設定に不安がある場合は一度専門家に確認してもらうことで、確実かつ安全に整えることができます。
さらに強化するならMicrosoft Defender for Office 365プラン1
SPF・DKIM・DMARCは「なりすましメールの入口を塞ぐ」対策です。これに加えて「届いたメールの中に潜む危険を検出する」対策も重ねることで、防御の層がさらに厚くなります。それを担うのが「Microsoft Defender for Office 365 プラン1」です。
- 「安全なリンク」機能:メール内のURLをクリックした瞬間にリアルタイムで安全性を確認し、フィッシングサイトへのアクセスを自動でブロックします。社員がリンクを押してしまっても、危険なサイトに到達する前に止めてくれます。
- 「安全な添付ファイル」機能:添付ファイルを安全な仮想環境の中で先に検査し、ウイルスが仕込まれていないかを確認してから受信者に届けます。見た目は普通のファイルでも、開く前に検査が完了している状態です。
Microsoft 365 Business Premiumプランには標準で含まれており、単体購入の場合の参考価格は1ユーザーあたり月額300円程度です(最新価格はMicrosoft公式サイトをご確認ください)。社員25名の会社であれば月7,500円前後の計算になります。
事故が起きてからでは遅い。仕組みで守る体制を整えよう
フィッシング被害が実際に起きてからの対応は、想像以上に大変です。原因の特定、被害範囲の確認、取引先への連絡と対応——これらを通常業務と並行して進めなければなりません。
一方、今回紹介した設定を事前に整えておけば、フィッシングメールの多くはそもそも社員の手元に届きません。届いてしまっても、リンクをクリックした瞬間に止まります。「気をつけましょう」という社員教育だけに頼るのではなく、仕組みが自動で守ってくれる体制。それが中小企業における現実的なフィッシングメール対策です。
IT担当がいない会社でも、一度正しく整えてしまえば、あとは自動で動き続けます。必要な機能はすでにMicrosoft 365の中にあります。整えるタイミングは、今です。
まずは現状確認から。無料でご相談ください
「今の自社のExchange Online設定が正しく機能しているかどうか、正直わからない」という社長に向けて、現状確認から対応方針のご提案まで、無料でお話しします。難しい技術的な説明はしません。「うちに何が必要か・何から始めるべきか」だけを、わかりやすくお伝えします。