出品代行を装う詐欺が横行中?!“メールヘッダー”を確認して詐欺メールを見分ける方法

※当サイトにはプロモーションが含まれています。

にゃのらいとにゃのらいと

MercariやRakutenで出品しないかとメールが届いたにゃ

もう10年以上、不要品の販売をAmazonでおこなっていることもあって、Amazonの便利ツールの案内メールは、年に1回くらいの頻度で届くことがありました。

そのため、今回、届いたメールも、実在する会社名代表者名は完全一致、実際の事業内容もOEMの製造・販売、輸入販売だったこともあって、

実際に、この“hogehoge株式会社(仮名)”から送られてきたんだな・・・

と、最初は疑っていませんでした。

しかし、メールをよく見ると、最後にGmailやLINEに誘導しているこたため、そこで違和感を持ちました。

そして、メールヘッダー情情報を見て詐欺だと確信しました。

出品代行|詐欺メール
実際に届いたメール内容の一部

今回は、このような怪しいメールを受け取った場合に、そのメールが本物かどうかを判断・判別する方法について書いてみました。

この記事の目次
  1. 今後も巧妙な詐欺メールは増加する
  2. 詐欺メールを見分けるポイント
  3. メールヘッダーの内容を分析する

今後も巧妙な詐欺メールは増加する

“ChatGPT”や“Gemini”など、生成AIの普及によって、自然な日本語の文章を誰でも簡単に作れる時代になりました。

今回、受け取ったメールも一部に不自然さはあったものの、輸入販売をおこなっている企業から届いたものとしてあり得なくはないレベルの精度でした。

今後、出品代行サービスを装う詐欺が増える?!

メルカリでは、2025年10月22日から法人・個人事業主の登録が禁止されました。

また、Amazonでも出品者登録の確認がより厳密化されるようになりました。

にゃのらいとにゃのらいと

こうした変化によって、既存の販売者の一部が影響を受けている可能性があるにゃ。

その結果、「代わりに販売します」「出品代行できます」などといった声をかける詐欺が増えていく可能性があると感じました。

この詐欺メールの目的は?

今回の詐欺メールに対して、返信をしていないため、送信側の目的はわかりませんが、おそらくアカウントの乗っ取りではないかと推測します。

そのため、やり取りをしていくうちに、

  • 代行出品のため、楽天・メルカリなどのログインパスワードを教えてください
  • API連携に必要なので権限を委譲してください

といった形で、誘導してくるのではないかと推測しました。

楽天・YahooなどEC出店企業は要注意

楽天市場Yahoo!ショッピングには、法人として出店している企業は多数あります。

今回、なりすましに利用されていた企業も実在の企業でした。

そのため、楽天などで出店している企業も防衛策として、“代行出品や副業などのメールを送ることはない”といった注意喚起をホームページなどに明記しておくことが必要だと思いました。

詐欺メールを見分けるポイント

巧妙に作られた詐欺メールの見分け方について説明していきます。

メールヘッダーは改ざんしづらい

詐欺メールを見分ける際、本文の文章や差出人名だけで判断するのは危険です。

何故ならば、メール内の文章や差出人名などは、簡単に偽装することができるからです。

極端な話、わたしが楽天の社長である“三木谷浩史さん”を名乗り、楽天のドメインのように見せかけて、メールを送ることも可能です。

三木谷浩史|mikitani@rakuten.co.jp

しかし、簡単に偽装できない箇所があります。

それが、メールヘッダーの情報に記録される送信経路、Return-Path、SPF/DKIM/DMARCの判定情報です。

にゃテックにゃテック

このヘッダー情報を確認することで、詐欺メールを見分けられることができます。

各アプリやサービスのメールヘッダーの確認方法

メールヘッダーの確認方法は、利用しているメールアプリやサービスによって異なります。

代表的なサービスでの確認例は、次の通りです。

Gmailの場合

該当するメールを開いた状態で、メール右上にある、

︙(縦三点リーダー)>  原文を表示 を選択します。

Gmail > 原文を表示

Web版Outlookの場合

該当するメールを開いた状態で、メール右上にある、

・・・(三点リーダー)>  表示 > メッセージの詳細を表示 を選択します。

Web版Outlook|表示 > メッセージの詳細を表示

Thunderbirdの場合

該当するメールを開いた状態で、メール右上にある、

その他 > メッセージの表示形式 を選択します。

Thunderbird|その他 > メッセージの表示形式

にゃのらいとにゃのらいと

iPhoneの標準メールから確認したいにゃ。

残念ながら、iPhoneの標準メールアプリだけでは、メールヘッダーを完全表示することはできません。

にゃテックにゃテック

そのため、基本的にパソコンから確認する事になります。

メールヘッダーの内容を分析する

メールのソースを表示させると以下のような内容が表示されます。

メールヘッダーのソース内容

にゃのらいとにゃのらいと

メールヘッダーを表示させても何が書かれているのかわからないにゃ。

メールヘッダーで確認する箇所は2箇所

メールヘッダーで確認する箇所は下記の箇所です。

Return-Path

そのメールが「どこから送られた扱いになっているか」を示す情報です。

ここに書かれているドメインが、本文に書かれた会社名や送信元と一致していない場合、偽装の可能性があります。

SPF / DKIM / DMARC の判定結果

メールが “そのドメインの正規の送信として成立しているかどうか” をチェックする仕組みです。

ここが「PASS」にならない場合や、「本文の差出人と違う別ドメインの結果だけPASSになっている」場合は特に注意が必要です。

にゃのらいとにゃのらいと

そんなこと言われてもよくわからないにゃ。

こういう時に使えるのがAIツールです。

メールヘッダーをコピーして貼り付ける際、情報漏洩が不安な部分(ご自身のメールアドレスなど)は、任意の文字列に置き換えてから、ChatGPTなどのAIに、下記のように質問すれば問題ありません。

次のメールヘッダーに不審な点はありますか?
なお、sampleの部分はわたしが置換したので問題ありません

## (メールヘッダーのペースト内容)
にゃのらいとにゃのらいと

ChatGPTが教えてくれたにゃ。

ChatGPTの返答

フィッシング詐欺メールは今後さらに巧妙になると思います。

しかし、メールヘッダーは誤魔化しが効きにくい部分なので、ここを確認するクセを付けておくと被害にあう確率は大きく下がると思います。

にゃテックにゃテック

もちろん、添付ファイルは開かない見慣れないURLはクリックしない、といった基本が一番大切です。