メールが勝手に送信される原因|マルウェアvsアカウント乗っ取り
メールが勝手に送信される原因は、大きく分けて「マルウェア感染」と「アカウント乗っ取り」の2つです。それぞれ対処法が異なるため、まずは原因を正確に特定することが重要です。
マルウェア感染による自動送信
マルウェア感染の場合、あなたのPCが「ゾンビ化」して攻撃者の指示で動く状態になっています。ボットネットの一部として悪用され、知らないうちにスパムメール配信の片棒を担がされているのです。
スパムボットの仕組み
スパムボット型マルウェアは、感染PCを遠隔操作してメール送信機能を悪用します。
- スパムボットの動作メカニズム
- 感染すると、マルウェアは指令サーバー(C&Cサーバー)と通信を開始。送信先リスト、メール本文、件名などの指示を受け取り、大量のスパムメールを送信します。1時間に数千通送信するケースもあり、あなたのメールアドレスの信頼性を著しく損ないます。多くの場合、SMTP(メール送信プロトコル)を直接操作するため、通常のメールソフトを経由せず、送信済みフォルダに履歴が残らないのが特徴です。
スパムボットの技術的特徴:
- SMTP直接送信:ポート25/587を使用して直接送信
- メールクライアント悪用:OutlookやThunderbirdのAPIを悪用
- Webメール操作:ブラウザを自動操作してWebメールから送信
- プロキシ経由送信:発信元を隠蔽するため複数のプロキシを経由
メールワームの特徴
メールワームは、自己拡散機能を持つ特殊なマルウェアです。
- メールワームの拡散方法
- アドレス帳の連絡先全員に自分のコピーを添付したメールを送信。受信者が添付ファイルを開くと感染し、さらにその人のアドレス帳から拡散。ねずみ算式に感染が広がるため、数時間で数万台に感染することもあります。有名な「ILOVEYOU」ワームは、2000年に世界中で4500万台以上に感染し、被害額は100億ドルを超えました。
アカウント乗っ取りによる悪用
アカウント乗っ取りは、攻撃者があなたのメールアカウントに不正ログインしている状態です。PCがクリーンでも、クラウド上で悪用が続きます。
パスワード漏洩の経路
パスワードが漏洩する主な経路:
| 漏洩経路 | 発生率 | 手口 | 対策 |
|---|---|---|---|
| フィッシング詐欺 | 40% | 偽サイトで入力させる | 二要素認証 |
| データ漏洩 | 30% | 企業からの大規模流出 | パスワード使い回し禁止 |
| マルウェア | 20% | キーロガーで記録 | セキュリティソフト |
| 総当たり攻撃 | 8% | 弱いパスワードを突破 | 複雑なパスワード |
| ソーシャルエンジニアリング | 2% | 電話等で聞き出す | 教育・訓練 |
セッションハイジャックの危険性
- セッションハイジャックとは
- ログイン後のセッション情報(Cookie)を盗み、パスワード不要でアカウントにアクセスする攻撃。公衆Wi-Fiでの通信傍受、XSS攻撃によるCookie窃取、マルウェアによるブラウザ情報収集などで実行されます。一度セッションを乗っ取られると、パスワードを変更しても、セッションが有効な限り不正アクセスが続く危険性があります。
両者の見分け方
マルウェア感染とアカウント乗っ取りは、症状と対処法が異なるため、正確な判別が重要です。
- マルウェア感染の特徴
- 送信済みフォルダに履歴が残らない、PC起動中のみ送信される、送信先がアドレス帳の連絡先中心、同じ内容の大量送信、PCが重くなる・ファンが回る等の症状を伴います。タスクマネージャーで不審なプロセスが見つかることが多く、セーフモードでは送信が止まります。
- アカウント乗っ取りの特徴
- 別の場所(海外等)からのログイン履歴がある、PCを切っても送信が続く、送信済みに履歴がある(攻撃者が削除する場合も)、パスワード変更で止まることが多い、転送設定や自動応答が勝手に設定されている等の特徴があります。メールプロバイダーのログイン履歴で確認可能です。
- 複合型の攻撃
- 最近はマルウェアがパスワードを盗み、その後アカウントを乗っ取る複合型も増加しています。この場合、マルウェア駆除とパスワード変更の両方が必要。初動対応の重要性がより高まっています。
見分け方の決定木:
PCの電源OFF後も送信が続く?
├─ YES → アカウント乗っ取りの可能性大
│ └─ ログイン履歴を確認
└─ NO → マルウェア感染の可能性大
└─ タスクマネージャーで不審プロセス確認
緊急時の対処手順|被害拡大を防ぐ初動
メールが勝手に送信されていることに気づいたら、1分1秒を争う緊急事態です。以下の手順で迅速に対処してください。
緊急度別対処優先順位表
| 優先度 | 対処内容 | 所要時間 | 重要度 | 実施者 |
|---|---|---|---|---|
| 1 | ネットワーク切断 | 30秒 | 最重要 | 本人 |
| 2 | パスワード変更 | 3分 | 最重要 | 本人 |
| 3 | 管理者への報告 | 5分 | 重要 | 本人 |
| 4 | 送信ログ確認 | 10分 | 重要 | IT担当 |
| 5 | 重要取引先連絡 | 30分 | 重要 | 本人/上司 |
ステップ1:即座の遮断措置
最優先は被害拡大の阻止です。物理的にネットワークから切り離します。
ネットワークからの切断
【即座に実行】切断方法:
- 有線LAN:ケーブルを物理的に抜く
- Wi-Fi:PCのWi-Fi機能をOFF(機内モードON)
- モバイル回線:テザリングやモバイルルーターの電源OFF
- なぜネットワーク切断が最優先か
- 1秒間に数十通のメールが送信される場合があり、1分の遅れが数千通の差になります。また、マルウェアが新たな指令を受信したり、追加のマルウェアをダウンロードすることも防げます。法的にも、被害拡大を防ぐ努力をしたという証拠になり、後の責任問題で有利になります。
メールクライアントの停止
ネットワークを切断したら、メールソフトも完全停止します。
メールクライアント別の停止方法:
- Outlook:タスクマネージャーでOutlook.exeを強制終了
- Thunderbird:プロセスを終了後、プロファイルフォルダを別名に変更
- Webメール:すべてのブラウザを終了、Cookieを削除
ステップ2:パスワードの緊急変更
ネットワークを遮断したら、別の安全な端末からパスワード変更を行います。
別の端末からの変更方法
- 別端末が必要な理由
- 感染PCにはキーロガーが仕込まれている可能性があり、新パスワードも即座に盗まれる危険があります。スマートフォン、タブレット、別のPCなど、感染していない端末を使用。公共のPCは避け、自分か信頼できる人の端末を使用してください。
パスワード変更の手順:
- 別端末でメールサービスにログイン
- 現在のパスワードで認証
- 新パスワードは最低16文字以上、英数字記号混在
- 他のサービスで使用していないユニークなもの
- パスワードマネージャーに保存
二要素認証の有効化
パスワード変更と同時に、二要素認証を必ず有効化します。
主要メールサービスの二要素認証設定
| サービス | 設定場所 | 認証方法 | バックアップコード |
|---|---|---|---|
| Gmail | Googleアカウント→セキュリティ | SMS/認証アプリ/キー | 10個生成可能 |
| Outlook | Microsoftアカウント→セキュリティ | SMS/認証アプリ | 回復コード提供 |
| Yahoo | セキュリティ設定 | SMS/認証アプリ | 使い捨てパスワード |
| iCloud | Apple ID→セキュリティ | SMS/信頼デバイス | 復旧キー生成可能 |
ステップ3:被害状況の確認
対策を打ったら、被害の全容を把握します。
送信ログの確認方法
メールプロバイダーの管理画面で、不正送信の履歴を確認します。
- 確認すべき項目
- 送信日時(いつから始まったか)、送信件数(被害規模)、送信先(誰に送られたか)、メール内容(どんな内容か)、添付ファイルの有無(マルウェア拡散の危険性)。これらの情報は、後の対応や報告で必要になるため、スクリーンショットで記録しておきます。
影響範囲の特定
影響度マッピング:
- 最重要:顧客、取引先、上司
- 重要:同僚、協力会社
- 中程度:知人、友人
- 低:メルマガ登録先など
ステップ4:関係者への連絡
被害状況が把握できたら、速やかに関係者に連絡します。
連絡すべき相手の優先順位
連絡順序と方法の整理表
| 優先度 | 連絡相手 | 連絡方法 | 連絡内容 | タイミング |
|---|---|---|---|---|
| 1 | IT管理者/上司 | 電話→メール | 事実報告 | 即座 |
| 2 | 重要顧客 | 電話 | 謝罪と注意喚起 | 30分以内 |
| 3 | 取引先 | メール | 詳細説明 | 1時間以内 |
| 4 | 社内全体 | 一斉メール | 注意喚起 | 3時間以内 |
| 5 | その他 | Webサイト告知 | 一般告知 | 当日中 |
謝罪と注意喚起のテンプレート
初動連絡メールテンプレート:
件名:【重要】弊社メールアドレスからの不審メール送信に関するお詫びとお願い
〇〇様
平素より大変お世話になっております。
株式会社〇〇の〇〇です。
この度、弊社メールアドレス(xxxx@example.com)から、
私の意図しないメールが送信される事象が発生いたしました。
【発生期間】〇月〇日 〇時頃~〇時頃
【送信内容】〇〇に関する不審なメール(添付ファイル付き)
つきましては、該当時間帯に弊社から送信されたメールについて:
1. 開封せずに削除していただく
2. 添付ファイルは絶対に開かない
3. リンクはクリックしない
ようお願い申し上げます。
現在、原因調査と対策を実施しております。
多大なご迷惑をおかけし、誠に申し訳ございません。
【本件に関するお問い合わせ】
電話:〇〇-〇〇〇〇-〇〇〇〇
メール:security@example.com(別アドレス)
スパムボット型マルウェアの駆除|完全削除の手順
マルウェアが原因と判明したら、完全な駆除作業を実施します。中途半端な対処では再発する可能性があります。
感染プロセスの特定
まずは、どのプロセスがメールを送信しているかを特定します。
タスクマネージャーでの確認
【ここにタスクマネージャーでの確認方法の図を入れる】
不審なプロセスの見つけ方:
- Ctrl+Shift+Escでタスクマネージャー起動
- 「詳細」タブに切り替え
- ネットワーク使用率でソート
- 以下の特徴を持つプロセスを探す:
スパムボットの典型的なプロセス名:
- ランダムな文字列(例:qwkjh.exe、x32dbg.exe)
- 正規プロセスの偽装(例:svch0st.exe ← 正しくはsvchost.exe)
- 汎用的な名前(例:update.exe、service.exe、system.exe)
自動起動項目のチェック
スパムボットは、PC起動時に自動実行される設定になっています。
- 自動起動の確認箇所
- タスクマネージャーの「スタートアップ」タブ、レジストリのRunキー、タスクスケジューラ、サービス一覧、ブラウザの拡張機能。これらすべてを確認し、不審なエントリを無効化または削除します。特に「発行元:不明」「デジタル署名:なし」のものは要注意です。
セーフモードでの駆除作業
通常モードでは削除できないマルウェアも、セーフモードなら駆除可能です。
アンチウイルスでのフルスキャン
セーフモードでのスキャン手順:
- Shiftキーを押しながら再起動
- 「トラブルシューティング」→「詳細オプション」→「スタートアップ設定」
- セーフモードで起動
- Windows Defenderまたはインストール済みアンチウイルスでフルスキャン
- 検出された脅威をすべて駆除
- 複数ツールでのクロスチェック
- 1つのセキュリティソフトでは検出できないマルウェアもあるため、Malwarebytes、ESET Online Scanner、Emsisoft Emergency Kitなど、複数のツールでスキャンすることを推奨します。
手動削除が必要なケース
セキュリティソフトでも削除できない頑固なマルウェアの場合:
手動削除の手順:
- プロセスの強制終了(taskkill /f /im プロセス名)
- 実行ファイルの削除(通常はTempフォルダやAppData内)
- レジストリエントリの削除(後述)
- 残存ファイルの検索と削除
メールクライアントのクリーンアップ
マルウェア駆除後も、メールクライアントに痕跡が残ることがあります。
アドオンと拡張機能の確認
メールクライアント別チェックポイント:
| クライアント | 確認場所 | 削除対象 | リセット方法 |
|---|---|---|---|
| Outlook | ファイル→オプション→アドイン | 不明な発行元 | プロファイル再作成 |
| Thunderbird | ツール→アドオン | 未署名の拡張機能 | プロファイルリセット |
| Webメール | ブラウザの拡張機能 | メール関連の不審な拡張 | ブラウザリセット |
メール設定の初期化
- 初期化が必要な理由
- マルウェアが送信サーバー設定、署名、自動返信、転送ルールなどを改ざんしている可能性があります。特にSMTPサーバーのポート番号が25(通常は587や465)に変更されている場合は、スパム送信用に改ざんされた証拠です。
レジストリの修復
【警告】レジストリの編集は慎重に行ってください。誤った操作はシステムに深刻な影響を与えます。
メール関連エントリの確認
主要な確認箇所:
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
不正な送信設定の削除
レジストリエディタで以下を削除:
- 不明なSMTPサーバーのエントリ
- 自動送信に関する設定
- 不審なメールアドレスの登録
メールアカウントの復旧|セキュリティ強化策
マルウェア駆除が完了したら、メールアカウントのセキュリティを根本から見直します。
アカウント設定の総点検
アカウント乗っ取りの痕跡がないか、すべての設定を確認します。
転送設定の確認と削除
攻撃者は、あなたのメールを盗み見るため転送設定を仕込むことがあります。
- 確認すべき転送設定
- 自動転送ルール(特定の条件で転送)、全メール転送設定、BCCへの自動追加、特定フォルダへの振り分け後転送。Gmail なら「設定」→「転送とPOP/IMAP」、Outlookなら「ルール」→「仕分けルールと通知」で確認。見知らぬメールアドレスへの転送があれば即削除。
自動応答の無効化
不在通知や自動返信もスパム配信に悪用される可能性があります。
自動応答のリスク:
- メールアドレスの存在確認に悪用
- スパムの内容を自動返信で拡散
- 個人情報(休暇期間等)の漏洩
パスワード強化策
二度と乗っ取られないよう、鉄壁のパスワード管理を実施します。
強力なパスワードの作成方法
推奨パスワード要件:
- 長さ:最低16文字以上(理想は20文字以上)
- 複雑性:大小英字+数字+記号を必須
- 独自性:他サービスで未使用
- 定期更新:3ヶ月ごと(重要アカウント)
パスワード生成のコツ:
基本フレーズ:「私は毎朝6時に起きて運動する」
→ 頭文字:Wma6nojus
→ 記号追加:Wma@6nojus!
→ サービス名追加:Wma@6nojus!Gmail2024
パスワードマネージャーの活用
- パスワードマネージャーのメリット
- すべて異なる複雑なパスワードを使用可能、自動入力でフィッシング詐欺対策、パスワード漏洩チェック機能、二要素認証のワンタイムパスワード管理も可能。Bitwarden、1Password、LastPassなどが代表的。マスターパスワード1つで全て管理でき、セキュリティと利便性を両立できます。
二要素認証の設定
パスワードだけでは不十分。二要素認証(2FA)は必須です。
SMS認証の設定手順
最も簡単な2FAですが、SIMスワップ攻撃のリスクがあります。
SMS認証設定の注意点:
- 復旧用の電話番号も登録
- 海外からのSMS受信を確認
- SIMロックをキャリアに依頼
認証アプリの導入方法
SMS認証より安全な認証アプリを推奨します。
推奨認証アプリ:
| アプリ名 | 特徴 | バックアップ | 料金 | 対応OS |
|---|---|---|---|---|
| Google Authenticator | シンプル | クラウド同期 | 無料 | iOS/Android |
| Microsoft Authenticator | MS連携 | クラウドバックアップ | 無料 | iOS/Android |
| Authy | 複数デバイス対応 | 暗号化バックアップ | 無料 | iOS/Android/PC |
| 1Password | パスワード管理統合 | 自動同期 | 有料 | 全OS |
アクセス履歴の監視
定期的に不正アクセスがないかチェックする習慣をつけます。
不正ログインの確認方法
- ログイン履歴の確認ポイント
- アクセス元の国・地域(海外からのアクセスは要注意)、使用デバイス(見知らぬデバイス名)、IPアドレス(VPN経由は要確認)、アクセス時刻(深夜の大量アクセス等)、失敗回数(総当たり攻撃の兆候)。月1回は必ず確認し、異常があればすぐパスワード変更。
アラート設定の重要性
セキュリティアラートの設定:
- 新しいデバイスからのログイン通知
- パスワード変更の通知
- 重要な設定変更の通知
- 異常なアクティビティの警告
取引先への連絡と謝罪|信頼回復のために
技術的な対処が完了したら、ビジネス上の信頼回復に取り組みます。適切な連絡と誠実な対応が、長期的な信頼関係の維持につながります。
初動連絡のタイミングと方法
スピードと正確性のバランスが重要です。拙速な連絡も、遅すぎる連絡も信頼を損ないます。
電話とメールの使い分け
連絡方法の使い分け基準:
| 相手 | 第一報 | 詳細報告 | フォロー | 理由 |
|---|---|---|---|---|
| 重要顧客 | 電話 | メール | 訪問 | 誠意を示す |
| 取引先 | 電話/メール | メール | メール | 効率重視 |
| 社内 | 口頭 | メール | 会議 | 詳細共有 |
| 一般 | - | Web告知 | - | 広範囲周知 |
重要度別の連絡順序
- 連絡順序の決め方
- ①金銭的影響の大きい順(年間取引額、継続案件の有無)、②被害を受けた可能性の高い順(送信ログから確認)、③今後の取引への影響度、④コンプライアンス要件(上場企業、官公庁等)。これらを総合的に判断し、上位10社は必ず電話連絡、それ以外はメールで対応するなど、メリハリをつけることが重要です。
謝罪文の作成ポイント
謝罪文は事実を正確に伝えつつ、誠意を示すことが重要です。
- 件名の書き方
- 【重要】【セキュリティ】などの識別子を付け、「弊社メールアドレスからの不審メールに関するお詫びとお願い」など、内容が明確に分かる件名にします。曖昧な件名は、重要性が伝わらず、見逃される可能性があります。
- 本文の構成
- ①まず深くお詫び(言い訳より先に謝罪)、②事実の説明(発生日時、影響範囲、送信内容)、③お願い事項(メール削除、リンクを開かない、添付ファイルを開かない)、④実施した対策(技術的対策、再発防止策)、⑤今後の対応(問合せ窓口、補償等)の順で、A4用紙1枚に収まる程度で簡潔に記載します。
- フォローアップ
- 1週間後を目安に、対策完了の報告と改めてのお詫びを送信。「このたびの件では大変ご心配をおかけしました。その後、完全な対策を実施し、セキュリティ体制を強化いたしました」など、収束と安全性をアピール。必要に応じて、セキュリティ監査報告書の概要を添付し、信頼回復に努めます。
謝罪文テンプレート(完全版):
件名:【重要・セキュリティ】弊社メールアドレスからの不審メール送信に関するお詫びとご対応のお願い
〇〇株式会社
〇〇様
いつも大変お世話になっております。
株式会社〇〇の〇〇です。
このたび、弊社メールアドレス(xxxx@example.com)より、
私の意図しない不審なメールが送信される事象が発生いたしました。
貴社に多大なご迷惑をおかけしましたこと、深くお詫び申し上げます。
■発生状況
・期間:2024年〇月〇日 14時頃~16時頃
・原因:マルウェア感染によるメールアカウントの不正利用
・内容:英文による不審なメール(添付ファイル付き)
・影響:貴社を含む約〇〇社に送信
■お願い事項
該当時間帯に弊社から受信されたメールにつきまして:
1. 未開封の場合は、そのまま削除をお願いいたします
2. 添付ファイルは絶対に開かないでください
3. 本文中のリンクはクリックしないでください
4. 既に開封された場合は、ウイルススキャンの実施をお願いいたします
■実施済み対策
1. 感染端末の隔離とマルウェアの完全駆除
2. 全メールアカウントのパスワード変更
3. 二要素認証の導入
4. セキュリティソフトの強化
■今後の対応
・全社員へのセキュリティ教育の実施
・定期的なセキュリティ監査の実施
・インシデント対応体制の強化
改めまして、このたびは多大なご迷惑をおかけし、
誠に申し訳ございませんでした。
今後このようなことがないよう、万全の対策を講じてまいります。
ご不明な点がございましたら、下記までご連絡ください。
【本件に関するお問い合わせ窓口】
担当:〇〇
電話:〇〇-〇〇〇〇-〇〇〇〇(直通)
メール:security@example.com(対策済みの別アドレス)
今後とも、どうぞよろしくお願い申し上げます。
まとめ
メールが勝手に送信される問題は、迅速かつ適切な対処で被害を最小限に抑えられます。まず原因を特定し(マルウェア感染 vs アカウント乗っ取り)、即座にネットワークを遮断、パスワードを変更。その後、完全な駆除とセキュリティ強化を実施します。
対処のポイント:
- 初動の速さが被害を左右:1分の遅れが数千通の差に
- 原因の正確な特定:対処法が異なるため重要
- 複合的な対策:技術的対処+ビジネス対応
- 再発防止の徹底:二要素認証は必須
- 誠実な事後対応:信頼回復への第一歩
ボットネット化を防ぎ、ビジネスメール詐欺(BEC)への悪用を阻止するためにも、メールセキュリティは組織の生命線です。定期的な見直しと、継続的な警戒を怠らないようにしましょう。
もし本記事の方法で解決しない場合は、より深刻なAPT攻撃の可能性もあります。その場合は、専門家への相談を強く推奨します。
よくある質問(FAQ)
- Q: メールが勝手に送信されていることに気づいたら最初に何をすべき?
- A: 即座にインターネット接続を切断してください。有線LANならケーブルを抜き、Wi-Fiなら機内モードをONにします。これで新たな送信を止められます。次に、別の安全な端末(スマホ等)からメールアカウントにログインし、パスワードを変更。可能なら二要素認証も即座に有効化します。その後、送信ログを確認して被害範囲を特定し、重要な取引先から順に電話で状況を説明してください。この初動対応は30分以内に完了させることが理想です。
- Q: マルウェア感染とアカウント乗っ取りはどう見分ける?
- A: 最も簡単な判別方法は、PCの電源を切った後もメール送信が続くかどうかです。電源OFF後も送信が続く場合はアカウント乗っ取りの可能性が高く、PC起動中のみの場合はマルウェア感染が疑われます。また、アカウントのログイン履歴を確認し、見知らぬ場所(特に海外)からのアクセスがあれば乗っ取り、タスクマネージャーで不審なプロセスが見つかればマルウェアと判断できます。ただし、最近は両方を組み合わせた複合型攻撃も多いため、両方の対策を実施することをおすすめします。
- Q: 取引先への謝罪メールはどう書けばいい?
- A: 件名は「【重要】弊社メールからの不審メール送信に関するお詫び」など、緊急性と内容が明確に分かるようにします。本文は、①まず深くお詫び、②発生期間と原因を簡潔に説明(例:〇月〇日14-16時頃、マルウェア感染により)、③お願い事項を明確に(該当メールの削除、リンクを開かない、添付ファイルを開かない)、④実施した対策を簡潔に記載、⑤問合せ先を明記、という構成にします。1週間後に対策完了報告を送ることで、誠意を示し信頼回復につながります。
- Q: スパムメール送信の法的責任はある?
- A: 故意でなくても、管理責任を問われる可能性があります。特に個人情報が含まれていた場合、個人情報保護法により、本人への通知義務(個人の権利利益を害するおそれが大きい場合)、個人情報保護委員会への報告義務が発生します。また、取引先に実害が出た場合、損害賠償請求される可能性も。ただし、迅速な対処と適切な事後対応を行えば、責任は軽減されます。インシデント発生から72時間以内の報告、被害拡大防止措置の実施、再発防止策の策定と実施が重要です。必要に応じて弁護士やIPAに相談することをおすすめします。
関連情報
マルウェア感染の詳細対策
関連する脅威と対策
総合ガイド
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- メールが勝手に送信されている場合は、速やかにネットワークを切断し、専門家に相談することを推奨します
- 法的責任については、状況により異なるため、必要に応じて弁護士にご相談ください
- 記載内容は作成時点の情報であり、マルウェアの手口や法規制は変更される可能性があります
- 個人情報が含まれる場合は、個人情報保護委員会への報告が必要な場合があります
更新履歴
- 初稿公開
