メールを保護する方法：ステップバイステップガイド

メールアカウントは、あなたのオンライン生活全体へつながる重要な入口です。多くのサービスがメールをアカウント復旧の主要手段として利用しているため、受信トレイを掌握されると、パスワードのリセット要求や認証コードの取得を通じて、本来無関係に見えるアカウントにまでアクセスされる可能性があります。

メールの受信トレイが侵害されると、長年のやり取りや機密ファイルが流出する恐れがあります。さらに攻撃者があなたになりすまし、連絡先や同僚をだまして情報提供や送金を促すケースもあります。

本ガイドでは、メールセキュリティが重要な理由、効果的なメール保護の方法、そしてアカウントが侵害された場合に取るべき対処手順を解説します。

2026 においてメールセキュリティが重要な理由

メールは、銀行サービス、オンラインショッピング、クラウドストレージ、業務ツールなどと密接に連携しているため、サイバー攻撃者にとって格好の標的です。主なリスクには次のようなものがあります。

• フィッシングメール： リンクのクリックやファイルの開封を誘導する目的で送られる詐欺メールです。近年は 生成AIなどを使い、複数言語で自然な文章を作成するケースも増えています。中にはセッショントークンを取得し、2段階認証（2FA）を回避できる攻撃キットも存在します。
• 漏えいした認証情報： サイバー犯罪者は、過去のデータ侵害で流出したユーザー名やパスワードをメールサービスに対して試すことがあります。もし以前に流出したパスワードを使い続けている場合、フィッシング攻撃なしでもアカウントに侵入される恐れがあります。
• マルウェアやWi-Fiの脅威： 悪意のあるソフトウェアは、ブラウザに保存されたCookieやセッショントークンを盗み出し、ログイン手順を回避して不正アクセスを可能にすることがあります。また、入力内容を記録するキーロガーによってログイン情報が盗まれるケースもあります。さらに、安全でないWi-Fiでは、中間者攻撃（MITM） によって暗号化前の通信が傍受・改ざんされる危険があります。

企業にとっても、メールアカウントの侵害 は依然として被害額の大きいサイバー攻撃の一つです。精巧に作られた請求書や経営陣になりすましたメールにより、従業員が多額の送金を行ったり、機密資料を提供してしまうケースが報告されています。

攻撃者は一度侵入すると、できるだけ長くアクセスを維持しようとします。連携サービスのパスワードを変更したり、長年のメールをコピーしたり、アカウント所有者になりすまして同僚や家族をだますこともあります。また、メール転送ルールの設定や復旧用連絡先の追加、アプリ専用パスワードの登録などを行い、パスワード変更後もアクセスを保ち続けるケースがあります。

盗まれたメールアカウントは、ダークウェブで売買される ことも少なくありません。犯罪者はそれらをスパム送信に利用するだけでなく、さらに大きな攻撃の足がかりとして利用します。企業環境では、1つのメールアカウントが侵害されるだけで、共有ドライブやカレンダー、業務ツールへのアクセスが広がり、組織全体のセキュリティ侵害につながる可能性があります。

メールアカウントを安全に保護する方法

メールアカウントを守るために役立つ、メールセキュリティのベストプラクティスをご紹介します。

強力で一意のメールパスワードを作成する

安全なパスワード は、長く、推測されにくく、他のサービスと重複していないものが理想です。最低でも14文字以上にし、英字・数字・記号を組み合わせることで、解読されにくくなります。

複雑なパスワードを複数管理する最も簡単な方法は、ExpressKeys のようなパスワードマネージャーを使うことです。強力なパスワードを自動生成し、暗号化された保管庫に安全に保存できます。

覚えやすいパスワードにしたい場合は、パスフレーズ を使う方法があります。無関係な単語を4つ以上組み合わせ、そこに大文字・数字・区切り記号を加えます。例：Sakura-Mountain7-Ocean-Cloud。名言や歌詞、個人情報などの推測されやすい内容は避けましょう。単語がランダムであるほど強度は高くなりますが、覚えにくくなりすぎないよう注意が必要です。自分には覚えやすく、他人には推測しにくい構造を選びましょう。

どの方法を選ぶ場合でも、安全でない保存方法は避けることが重要です。パスワードをメモやスクリーンショット、メールの下書きに保存するのは控えましょう。また、パスワードマネージャーを使う場合は、強力なマスターパスワードで保護してください。

メールで2段階認証（2FA）を有効にする

2段階認証（2FA） は、ログイン時に追加の確認ステップを設ける仕組みです。たとえパスワードが漏えいしても、攻撃者はその追加の認証要素を突破しなければアクセスできません。

ほとんどのメールサービスでは、アカウント設定やセキュリティ設定から2段階認証を有効にできます。一般的な手順は、セキュリティメニューを開き、2FA（2ステップ認証と表示される場合もあります）を選択し、画面の案内に従って認証方法を追加するだけです。可能であれば、バックアップの認証手段も必ず設定しておきましょう。

多くのメールサービスでは、認証アプリが生成する時間ベースのワンタイムコードを利用できます。ExpressKeysなら、サービスがアプリベースの2FAに対応している場合、パスワードマネージャー内で直接 そのコードを生成できます。これにより、パスワードと認証コードを複数のアプリに分散させることなく、1つの暗号化された保管庫で管理できます。

認証アプリはSMSより安全とされています。コードは端末上でオフライン生成されるため、送信途中で傍受されるリスクがないためです。

アカウント間でパスワードを使い回してはいけない理由

同じパスワードを複数のアカウントで使い回していると、1つのサービスが侵害された場合に他のアカウントまで危険にさらされます。攻撃者は 盗まれたユーザー名とパスワードの組み合わせを取得し、自動化ツールを使ってメールサービス、オンラインバンキング、クラウドストレージ、SNSなどへ次々とログインを試みます。1つでも一致すれば、重要なアカウントが乗っ取られる可能性があります。

アカウントごとに異なるパスワードを使えば、この連鎖を断ち切ることができます。1つのアカウントが侵害されても、被害が受信トレイや資金、ファイルへ広がるのを防げます。パスワードマネージャー を使えば、強力なパスワードの生成・安全な保存・重複パスワードの検出が可能になり、攻撃者に悪用される前に変更できます。

フィッシングメールを見分けて回避する

フィッシングメール は、多くの場合「緊急性」や「信頼感」を利用して注意を引きます。アカウント停止の警告、配送トラブルの通知、返金案内などを装うケースが典型です。また、通常の通知や共有ドキュメントを装い、何も考えずにリンクをクリックさせようとすることもあります。

見抜くための簡単なチェック方法があります。まず送信者のメールアドレスをよく確認しましょう。攻撃者は「m」を「rn」に置き換えるなど、文字を巧妙に変えたり余計な文字を加えたりして、正規のブランドを装うことがあります。また、リンクをクリックする前にカーソルを重ねて実際のリンク先を確認し、表示テキストだけを信用しないようにしましょう。

予期していない添付ファイルには特に注意が必要です。悪意のあるファイルが、通常の文書を装って送られてくることがあります。また、ZIPやRARなどの圧縮ファイルの中に危険なプログラムを隠しているケースもあります。信頼できる相手から直接依頼したファイルでない限り、開かないようにしましょう。

フィッシング手法は年々高度化しています。犯罪者は生成AIなどを使って複数言語の自然なメールを作成したり、セッショントークンを盗み取って2段階認証（2FA）を回避する攻撃ツールを利用することもあります。そのため 最も重要なの は、焦らず確認することです。緊急を装うメッセージを受け取った場合はリンクをクリックせず、公式サイトやアプリを直接開いて確認しましょう。

公共Wi-Fiでメールを確認しても安全？

公共Wi-Fiにはリスクがあります。同じネットワークに接続している人物が、通信内容を監視したり、悪意のあるコンテンツを送り込んだり、正規のネットワークに見せかけた 偽のホットスポット を設置する可能性があるためです。

特に注意が必要なのは接続の初期段階です。多くのホットスポットでは、最初に「キャプティブポータル」と呼ばれるページへリダイレクトされ、利用規約への同意やコード入力を求められます。この手続きが完了するまで、通信が乗っ取られたり改ざんされたりする可能性があります。

接続後でも安心はできません。不正アクセスポイント（いわゆる「Evil Twin」）があなたとメールサービスの間に入り込み、中間者攻撃（MITM）を仕掛けることがあります。これにより、暗号化されていない通信の盗み見や改ざん、偽のログインページの表示、ログイン状態を維持するセッションクッキーの窃取などが可能になります。

現在のメールサービスは暗号化によって以前より安全になっていますが、安全でないネットワークではメタデータやセッション情報が狙われる可能性があります。そのため、VPN などの追加保護を使わない限り、公共Wi-Fiは信頼できないネットワークとして扱うべきです。

メール利用時に安全なVPNを使うメリット

ExpressVPN のようなVPNは、デバイスと接続先サーバーの間に暗号化された通信トンネルを作ります。これにより、インターネットサービスプロバイダー（ISP）、Wi-Fiネットワークの管理者、偽のホットスポットを運営する攻撃者など、通信の途中にいる第三者がデータを読み取ったり改ざんしたりするのを防ぎます。

VPNは実際のIPアドレスも隠します。ログインするたびにあなたの位置情報が表示される代わりに、ウェブサイトやサービスにはVPNサーバーのアドレスだけが見える仕組みです。これにより、広告業者や攻撃者が複数のセッションを通じてあなたの行動を追跡したり、個人を特定したりするのが難しくなります。

VPNは強力な保護を追加しますが、HTTPSやTransport Layer Security（TLS）などのエンドツーエンド暗号化（E2EE）の代わりにはなりません。メールの処理自体はメールサービス側で行われ、通信経路ではVPNプロバイダーも信頼される存在になります。そのため、信頼性の高いVPNサービスを選び、安全なメールプロトコルを利用することが重要です。

安全なメール環境を構築する方法

メールの受信トレイを守るには、強力なパスワードや2段階認証（2FA）だけでは十分ではありません。どのメールサービスやセキュリティツールを選ぶかによって、メールの安全性は大きく変わります。

安全なメールサービスを選ぶ

安全なメールサービス は、初期設定の段階からユーザーを保護する仕組みを備えているべきです。次のような機能を持つサービスを選びましょう。

• TLSを使用し、メールがサーバー間で送受信される際に暗号化されていること。現在では多くのメールサービスで標準となっていますが、確認しておくと安心です。
• 悪意のあるリンク や添付ファイルを 自動検出し、フィッシングやマルウェアを受信トレイに届く前にブロックする機能があること。
• 不審なログインを通知し、アカウントにアクセスしたデバイスの履歴を確認できること。
• バックアップ用メールアドレスや電話番号を追加・変更・削除できるなど、アカウント復旧オプション を自分で管理できること。

ビジネス向けや有料プランのメールサービスでは、さらに高度な管理機能が利用できる場合があります。例えば、Secure/Multipurpose Internet Mail Extensions（S/MIME）に対応しているサービスでは、メールにデジタル署名を付けて送信者の正当性を証明したり、内容を暗号化して指定した受信者だけが読めるようにしたりできます。また、企業向けアカウントでは、管理者が全ユーザーに2段階認証（2FA）を義務付けたり、コンプライアンスのための保存ルールを適用したり、アカウントの操作履歴を監査ログで確認できる場合もあります。

プライバシーもセキュリティと同じくらい重要です。広告配信のために受信トレイを分析するサービスもあれば、エンドツーエンド暗号化（E2EE）を採用したり、収集するメタデータを最小限に抑えるサービスもあります。メールサービスが何を閲覧できて、何を閲覧できないのかを理解するためにも、プライバシーポリシーをよく確認しましょう。

特にリスクの高いユーザーは、サードパーティ連携を制限し、アカウント復旧手段を絞った強化型サービスの利用も検討するとよいでしょう。GmailではGoogleの「Advanced Protection Program」が提供されており、ログイン時にパスキーや物理セキュリティキーを要求し、危険なサードパーティアクセスを制限するとともに、フィッシングや不正ダウンロードへの追加保護を提供します。

メール内のリモートコンテンツとトラッキングピクセルをブロックする

多くのマーケティングメールには「トラッキングピクセル」と呼ばれるリモート画像が含まれています。メールを開くとサーバーから画像が読み込まれ、その通信によってメールアドレスが有効であることが確認されます。また、メールを開いた時間、使用しているメールクライアントやデバイスの種類、場合によってはIPアドレスなどの情報も取得されることがあります。

最も簡単な対策は、リモートコンテンツをデフォルトでブロックすることです。多くのウェブメールやモバイルアプリには、外部画像の自動読み込みを停止する設定があります。信頼できる送信者の画像だけを許可することもできますが、基本的にはブロックしておくことで多くのトラッキングを防げます。仕組みを詳しく知りたい場合は、メールトラッキングに関するガイド をご覧ください。

メール転送を安全に制限・無効化する

攻撃者は、侵害後もアクセスを維持するために自動転送機能を悪用することがあります。もしこの設定が有効になっていると、パスワードリセットやセキュリティコードを含むすべての受信メールが、気付かないうちに別のメールアドレスへ転送される可能性があります。被害者側では通常通りメールが表示されるため、この設定が数か月間発見されないケースもあります。

自分のアカウントを守るため、メール転送設定は定期的に確認し、覚えのない設定は削除しましょう。また、攻撃者が痕跡を隠すために使う可能性のある変更にも注意が必要です。例えば、特定のメールを自動転送・削除するフィルターや、他人があなたのアカウントからメールを閲覧・送信できる共有アクセス権などです。こうした変更を通知する機能がある場合は、必ず有効にしておきましょう。

メール転送自体には正当な用途もありますが、気付かないうちに動作している状態は避けるべきです。転送設定は、意図的に管理され、定期的に確認・記録・監視されるべき重要な設定として扱いましょう。

メール保護を強化するための上級対策

メールエイリアスで本来のアドレスを隠す

メールエイリアスを使うと、メールアドレスの露出を減らし、管理もしやすくなります。たとえば、ネットショッピング、ニュースレター、求人サイト、フォーラムごとに別のアドレスを使い分けることができます。もしそのうちの1つが流出したりスパムを受け取るようになった場合でも、そのエイリアスを無効化または削除すれば、その宛先へのメールは受信トレイに届かなくなり、メインのメールアドレスへの影響も抑えられます。

メールサービスによっては、taro+shopping@example.comのようにユーザー名の後ろへタグを追加する「プラスアドレッシング」に対応しています。一方で、一時停止・振り分け・削除を管理できる完全マスク型のアドレスを提供しているサービスもあります。

ExpressMailGuard のような専用のメールマスキングサービスを使えば、さらに強固なメール保護が可能です。すべてのExpressVPNサブスクリプションに含まれるこのサービスでは、実際のメールアドレス形式とまったく結び付かない、完全にランダムなエイリアスを利用できます。専用ダッシュボードから必要に応じてエイリアスの管理・無効化・削除ができ、現在利用しているどのメールサービスとも併用できます。

エイリアスは整理にも役立ちます。特定の宛先をフォルダーへ振り分けたり、より厳格なルールを設定したりしながら、メインの受信トレイをすっきり保てます。詳しくは、メールマスキングガイド をご覧ください。

スパム・迷惑メールフィルターを効果的に設定する

精度の高いスパムフィルターは、危険なリンクや添付ファイルを誤って開くリスクを下げます。まずはメールサービスの初期設定を使い、不要なメールをスパムとして報告し、迷惑メールに振り分けられた正当なメールは安全として指定しましょう。こうした操作を続けることで、フィルターは徐々に学習し、より適切に振り分けられるようになります。

見逃したくない相手やサービスは許可リストに登録し、ニュースレターのような大量メールはルールやフォルダーで振り分けて、重要なメールが埋もれないようにしましょう。また、振り分けミスを見逃さないために、迷惑メールフォルダーは週に1回は確認するのが安全です。

中小企業では、こうしたルールを一元管理し、正当なメールが誤判定された際にスタッフがすぐ報告・対応できる明確な手順を用意しておくべきです。チーム全体で使える、より包括的なチェックリストについては、中小企業向けサイバーセキュリティのヒント をご覧ください。

PGPやエンドツーエンド暗号化（E2EE）は使うべき？

多くのメールサービスは、TLSによって送信中の通信を暗号化していますが、メールサービス事業者自体はメッセージ内容を読み取れる場合があります。エンドツーエンド暗号化（E2EE） はさらに一歩進んだ仕組みで、受信者の公開鍵で内容を暗号化し、対応する秘密鍵を持つ受信者だけが復号できるようにします。Pretty Good Privacy（PGP） やS/MIMEは、その代表的な仕組みです。どちらも公開鍵暗号と共通鍵暗号を組み合わせ、真正性を証明するデジタル署名にも対応しています。

一部のメールサービスには、E2EE（エンドツーエンド暗号化）が標準搭載されています。たとえばTuta Mailでは、Tutaユーザー同士のメールは常にE2EEで保護されます。外部のメールアドレス宛ての場合は、受信者と共有パスワードを設定することでエンドツーエンド暗号化が有効になります。設定しない場合は、通常のTLS暗号化が適用されます。

ただし、その分だけ運用は複雑になります。PGPやS/MIMEでは、送信者と受信者の双方が鍵を管理しなければなりません。一方、メールサービス提供型のE2EEは手軽ですが、通常は同じサービス内でしかシームレスに機能しません。また、送信者・受信者・件名といったメタデータは、どちらの方式でも基本的に保護されません。

メールセキュリティをさらに高めるには、VPNの利用 も有効です。VPNはIPアドレスを隠し、インターネットサービスプロバイダー（ISP）による利用サービスの追跡を防ぎ、安全性の低いWi-Fi上の通信も保護します。メールそのものをエンドツーエンドで暗号化するわけではありませんが、トラッキングやネットワーク経由の攻撃に対して、追加の防御レイヤーを提供します。

暗号化対応メールクライアントは使うべき？

メールの保護方法や保存方法をより細かく管理したいなら、暗号化対応メールクライアントの利用は有力な選択肢です。安全性の高いクライアントは、サーバー証明書を検証し、暗号化プロトコルを適用し、詳細なセキュリティ設定を行えるうえ、PGPやS/MIMEといったメッセージ単位の暗号化方式にも対応しています。

ただし、そのぶん利便性とのトレードオフがあります。GmailやOutlookのようなウェブメールサービスは、すでに強力な保護をバックグラウンドで提供していますが、メールクライアントを使う場合は、その一部の管理責任がユーザー側に移ります。クライアントにメールをオフライン保存させる場合、つまりノートPCやスマートフォンへ受信トレイのコピーを保存する場合は、その端末自体をフルディスク暗号化で保護する必要があります。そうしないと、端末を盗まれた際に保存済みメールへ直接アクセスされるおそれがあります。

機密情報を扱う場合や、複数のアカウントを運用しながら転送ルールや各種設定を一元管理したい場合は、安全性の高いメールクライアントを検討する価値があります。一方で、日常利用が中心のユーザーであれば、最新のウェブメールサービスでも、より少ない手間で十分な保護を得られることが多いでしょう。

メールアカウントが侵害された場合の対処方法

メールがハッキングされた疑いがある場合の緊急対応

メールアカウントが侵害された可能性がある場合は、すぐに対応することが重要です。まずはアカウントの管理権限を取り戻し、攻撃者が追加した可能性のある設定やアクセスをすべて削除することを目指しましょう。

• アクセス状況を確認する： まだログインできる場合は、すぐにアカウントのセキュリティ設定を開き、以下の手順でアカウントを保護してください。ログインできない場合は、回復プロセスを開始する 必要があります。普段使用しているデバイスやネットワークから手続きを行うと、復旧できる可能性が高まります。
• パスワードを変更する： パスワードマネージャーで強力かつ一意のパスワードを生成し、保存したうえで、メールアカウントのパスワードをすぐに更新しましょう。これにより、攻撃者が以前のパスワードを再利用するのを防げます。
• 2段階認証（2FA）をリセットする： 見覚えのないデバイスを削除し、自分の認証アプリやセキュリティキーを再設定し、新しいバックアップコードを生成します。これにより、攻撃者が追加した可能性のある認証手段を無効化できます。
• アクセスを取り消す： すべてのセッションからログアウトし、見覚えのないデバイスを削除します。また、不審なアプリ用パスワードやサードパーティ連携があれば削除してください。
• 設定を確認する： メール転送ルール、フィルター、委任アクセス、復旧用連絡先を確認しましょう。攻撃者はパスワード変更後もアクセスを維持するために、こうした設定を悪用することがあります。自分で設定した覚えのないものは削除してください。
• デバイスをスキャンする： まずOSとブラウザを最新の状態に更新し、スマートフォンとパソコンの両方でウイルススキャンを実行します。Cookieやセッショントークンを盗む マルウェアの可能性がある 場合は、更新後にすべてのブラウザセッションを削除し、安全が確認されたデバイスからのみ再ログインしてください。

連絡先への通知と、他のアカウントを保護する方法

メールアカウントが侵害された場合は、まず最近やり取りした連絡先に知らせ、二次的な詐欺被害を防ぎましょう。自分がまだ管理できる別の連絡手段（別のメールアドレス、メッセージアプリ、SMSなど）を使って、アカウントが侵害された可能性があることを伝え、通常と異なるメッセージは無視するよう依頼します。もし送金や機密ファイルの共有を求めるメッセージが送られていた場合は、直接電話で連絡し、実際にやり取りが行われていないか確認してください。

次に、受信トレイと連携している他のアカウントを確認します。侵入した攻撃者は、パスワードリセットリンク、銀行通知、保存された認証コードなどを探すために、過去のメールを詳しく調べることがよくあります。金融サービス、クラウドストレージ、SNSなどで不審なログインやパスワード変更通知がないか確認してください。該当するサービスのパスワードを変更し、まだ設定していない場合は2段階認証（2FA）を有効にします。異常が見つからない場合でも、連携アカウントが危険にさらされている可能性を考え、予防的にパスワードを更新しておくと安心です。

メールアカウントの復旧機能とサポートの活用

多くのメールサービスには、アカウントへのアクセスを回復するための復旧手順が用意されています。通常は、予備メールアドレスや電話番号の確認、セキュリティ質問への回答、本人確認書類の提出などが求められます。

セルフサービスの復旧で解決できない場合は、カスタマーサポートに連絡しましょう。多くのサービスでは、侵害されたアカウントに対応する専用サポートチームを用意しており、プレミアムプランでは高度なセキュリティサポートを提供している場合もあります。対応を早く始めるほど、攻撃者をアカウントから締め出せる可能性が高まります。アクセスを回復したら、プロバイダーのセキュリティチェック機能（例：GoogleのSecurity Checkup）を実行し、最近のログイン履歴、接続デバイス、復旧設定を確認してください。見覚えのない項目は削除します。

設定を変更する前に、証拠を保存しておくことも重要です。不審なメールを見つけた場合は、完全なヘッダー情報とともに保存してください（多くのメールクライアントでは「View original」「Show source」「Message headers」などの項目から確認できます）。ヘッダーには、メールがどのサーバーを経由したかが記録されており、発信元の追跡に役立ちます。また、添付ファイルやリンクは開かずに保存しておきましょう。サポート担当者や銀行、あるいは法執行機関による調査に必要となる場合があります。

最後に、今回の出来事を報告しましょう。多くのメールサービスには、不審なメールを報告するための「Report phishing」などの機能が用意されています。もし送金など金銭が関係している場合は、すぐに銀行や決済サービスへ連絡し、保存した証拠を共有してください。

FAQ：メール保護に関するよくある質問