日常的に利用しているメールのセキュリティについては、誰もが気になるところですよね。
取引先への連絡や社内イベントの回覧など、今や電子メールで行うことが当たり前になっています。
また、送信者だけでなく、受信者も誤って社外の無関係な人に機密情報を送信してしまう危険性があります。
普通に送ったメールが、いつの間にかサイバー攻撃の起点となってしまうのです。
このメルマガでは、メールのセキュリティ対策について、概要から自分でできる対策までをまとめましたので、参考にしていただければ幸いです。
メールセキュリティ対策のポイント
メールを使ったサイバー攻撃は、攻撃者を装ってメールボックスに侵入し、深刻な被害をもたらします。
ここでは、絶対に実施すべきメールセキュリティ対策のポイントをまとめました。
1.ウィルス対策ソフト
使用しているPCにウィルス対策ソフトをインストールしましょう。
ウイルス対策ソフトをPCにインストールすることで、マルウェアの感染を防ぐとともに、他のPCへのマルウェアの拡散を防ぐことができます。
ウィルス対策ソフトにはさまざまな種類がありますが、基本的な機能はどれも同じです。
使用する際には、ウイルス定義ファイル(パターンファイル)を常に最新の状態にしておくことが重要です。
2.スパムメール設定
スパムメールとは、不特定多数の人に送信される、広告や商品情報を含む迷惑メールのことです。
スパムメールは、出会い系サービスを提供する業者や情報商材を販売する業者が商業目的で送信することが多いです。
このようなメールは、無視やブロックすることで対処できますが、メール本文中のURLや添付ファイルをクリックすると、PCが乗っ取られたり、スパムメールの送信元になるための踏み台にされたりすることがあります。
多くのスパムメールには、メールの下部に「配信停止」のリンクがありますが、このリンクをクリックしても配信停止にはなりません。
それどころか、このリンクをクリックすることで、受信者が「実際にメールを受け取っている」サインとみなされ、また新たなスパムメールが送られてくる恐れがあります。
スパムメールへの対策には、メールサーバー側で対策する方法と、ユーザー側で対策する方法があります。
3.メールの暗号化
電子メールで送信されるメッセージを暗号化することは、一般的な方法になりつつあります。
電子メールを暗号化することで、以下のようなセキュリティ対策が可能になります。
- 盗聴防止:ネットワーク上を流れるメールの盗聴を防止
- 改ざん防止:送信した電子メールの内容が書き換えられないようにする
- なりすまし防止:送信者になりすましてメールを送信することを防止
電子メールを暗号化するには、大きく分けてTLS/SSLを使う方法とPGP、S/MIMEを使う方法があります。
4.メールの無害化
メールの無害化とは、メールの本文や添付ファイルを安全なものにするために、様々な手順を踏んで処理することです。
メールの無害化には大きく分けて、
- 添付ファイルとメール本文を無害化する方法
- 攻撃に使われるプログラムを無害化する方法
この2つがあります。
アプローチ方法として、添付ファイルに含まれるテキストを抽出してメール本文に反映させる方法や、もう一つは、メール本文と添付ファイルの内容全体を画像ファイルにする方法です。
攻撃に使われるプログラムを無効にする方法としては、HTMLメールをプレーンテキストメールに変換する処理や、メール本文中のURLをクリックできない形式に変換したり、URLそのものを削除したりする方法があります。
しかし、問題となるのは、メールを無害化した後、受信したメールが元のメールと異なる場合です。
オリジナルのメールはサーバーやシステムのストレージに残されているので、オリジナルのメールが必要な場合は、システム管理者にリクエストする必要があります。
5.メール誤送信対策
誤配メールの原因は、送信者側のミスや不注意であることが多く、そのほとんどは送信者側の慎重な操作で防ぐことができます。
しかし、誤送信の発生件数が多いことから、誤送信防止を目的としたサービスやソフトウェアも多く存在します。
例えば、
- メールを書き終えて送信ボタンをクリックすると、注意喚起のポップアップウィンドウが表示される
- 送信済みのメールを一時的に保留することができる
といったものがあります。
誤送信が発生した場合は、すぐに電話などで関係者に連絡し、お詫びと今後の対応を協議する必要があります。
また、本来の受信者ではない第三者にメールを送信してしまった場合は、受信したメールを削除してもらう必要があります。
6.添付ファイルの暗号化
電子メールの盗聴を防止するために、電子メールで添付ファイルを送信する際には、添付ファイルを暗号化し、別途パスワードを共有しましょう。
添付ファイルを自動的に暗号化するサービスや、添付ファイルを送信する際にオンラインストレージを自動的に保存・共有するサービスなど、クラウドサービスの機能も利用してみましょう。
7.人材教育
どんなにセキュリティ対策を施しても、ヒューマンエラーの可能性がなくなることはありません。
IT環境の変化に伴い、サイバー攻撃の内容も日々変化していますので、定期的に社内ルールを見直し、継続的な教育を行うことが重要です。
メールにセキュリティ対策が必要な理由
メールがないと仕事にならない!という人は多いと思います。
送信者は好きな時にメッセージを送ることができ、受信者は自分の都合の良い時に確認することができる便利なツールですよね。
しかし、便利な反面、きちんとしたメールセキュリティ対策を行わないと、思わぬトラブルに巻き込まれてしまうこともあります。
メールのセキュリティ対策を怠ると、
- マルウェアの感染
- フィッシング詐欺
- スパムメール
- 誤送信
- 盗聴
- なりすまし
- 改ざん
などのリスクが高まります。
過去に発生した、メールセキュリティ対策を怠ったことによる事例を紹介
1.ビジネスメール詐欺
この詐欺は「Business Email Compromise(BEC)」と呼ばれ、詐欺師が不正に入手したIDやパスワードを使ってビジネスメールを盗み読みしたり、公開されている企業情報を使って役員や取引先を装った偽メールを送り、支払いを促すものです。
2017年には、外資系金融会社の代表者を装った偽の請求書が送られ、航空会社の代表者が指定口座に振り込んだことで、航空会社が約3億8,000万円を詐取されました。
2.フィッシングメール
フィッシングメールとは、電子メールで送られてきた偽装サイトへのログインを促し、ユーザーのIDとパスワードを盗むことで、金銭や個人情報を盗み出す犯罪行為のことです。
盗まれたIDとパスワードは、本人になりすましてインターネットバンキングなどにログインし、金銭を抜き取られます。
警察庁が実施したサイバー犯罪関連の調査結果によると、2019年9月以降、フィッシングメールによる不正送金が急増しており9月だけで4億2,600万円に上っています。
近年、「○○銀行」などの実在する企業を装い、類似したドメイン名を使って偽装サイトに誘導し、IDやパスワードを入力させて個人情報を盗み出すフィッシングメールが増加しているといいます。
また、LINEやFacebookなどのSNSのメッセージ機能を利用して「あなたのアカウントはブロックされています」というメッセージを送信し、詐欺サイトへ誘導するケースも増加しています。
最近では、宅配便業者を装った「不在通知」の偽SMSも流行っています。
3.EMOTETによる被害
近年、メールに添付されたWordファイルを開いたり、メール本文に記載されたURLをクリックすることで感染する「EMOTET(エモテット)」と呼ばれる攻撃型メールによる攻撃が急増しています。
感染すると、実際にやりとりされたメールを盗み、送信者になりすまして、メールへの返信を装って受信者にウイルスメールを送信します。
Emotetは、感染した端末から社内ネットワークの各端末のログイン情報やメールアドレスを盗み出します。
最後に:セキュリティ意識の教育も重要!
メールにまつわるセキュリティリスクとその対策をご紹介しました。
メールは、プライベートでもビジネスでも欠かせないコミュニケーションツールです。
攻撃を受ければ、メールの送信者と受信者の双方に悪影響を及ぼし、時には企業の経営を圧迫するほどの事態に陥ることもあります。
皆さんは、メールのセキュリティ対策をどれだけ、どこまで行っていますか?
この機会に改めて考えてみましょう。
