記事の監修
S.Sato
記事の監修
S.Sato
マネジメント&イノベーション事業部 開発部/2グループ グループマネージャー
資格:Microsoft Offiece Specialist Master 2007、ITパスポートなど
2022年よりMicrosoft365とPowerPlatformの案件を担当。
それ以前は業務・Web系システムを要件定義からリリースまでの開発に従事。
IT業界歴15年の経験を活かし、PJを牽引し後続の育成にも力を注ぐ。
趣味は散歩で、思考が煮詰まった際には、近所の緑道を散歩し、新たな発見や自然からのインスピレーションを受けている。
この記事では、メールとセキュリティーの関係性について解説します。
Contents
目次
メールセキュリティーとは?
まずはメールセキュリティーとは何なのかについて解説します。
メールセキュリティーとは、ビジネス等で使用するメールを脅威から防御するセキュリティー対策のことを指します。外部から届くメールや、不審なURLや添付ファイルなど、メールが晒されている脅威は様々です。
特に近年は、フィッシング詐欺やビジネスメールを装った不正メールなど、その手口は巧妙化しています。
代表的なメールを利用したサイバー攻撃としては「フィッシングメール」「スパムメール」「標的型攻撃メール」などが挙げられます。これらの攻撃の被害に遭った場合、情報漏えいなどのリスクが生じることが考えられます。
会社で当然のように使用するメールを介して、個人情報や企業機密などの重要な情報が漏えいすることを防ぐためにも、企業はメールセキュリティーを徹底する必要があるのです。
メールにはどんなセキュリティーリスクがある?
メールを利用することでどのようなリスクが生じるのでしょうか。まずは、メールのセキュリティーリスクについて解説します。
通常の送受信のみであればそれほどのリスクはない
通常の送受信のみであれば、それほどのリスクはありません。あくまで文字情報のみのやり取りに限定され、それだけでデバイスやネットワークに攻撃を行うのは難しいからです。
ただし、文字情報を用いた情報漏洩のリスクはあります。たとえば「信頼できる組織や人を騙ったメールが届いたので、情報を記載し返信してしまった」などの例が挙げられるでしょう。
攻撃者が必ずしもプログラム的な攻撃を仕掛けてくるとは限りません。「求める情報を得る」のが彼らの目的だからです。
URLや添付ファイルに注意
文章内にURLが記載された添付ファイルを送られている場合には注意が必要です。悪意のあるサイトに誘導するURLを踏んでしまい攻撃のためのファイルを開いてしまうと、大きなリスクが発生します。
詳しくは後述しますが、こちらは主に悪意のあるプログラムをベースとした攻撃になります。防ぐには、プログラムを実行しないことが大事です。
通常の脅威の他に、誤送信などのリスクもある
メールを利用するリスクとして、誤送信なども挙げられます。メールは遠く離れた相手に瞬時にメッセージを送れる便利なサービスですが、送信先のメールアドレスを間違えると正しい相手に届きません。
存在しないメールアドレスであれば情報はどこにも送られず、漏洩する可能性は低いでしょう。しかし、万一想定していない第三者に送ってしまった場合、そこから情報が漏れてしまう恐れがあります。
防ぐには「メールアドレスをしっかりと確認する」「タイピングではなくアドレス帳から送信する」などの工夫が有効です。
セキュリティーリスクを放置するとどうなる?
次に、セキュリティーリスクを放置するとどうなるかを考えてみましょう。リスクを放置したからといって直ちに被害が発生するわけではありませんが、常に危険をはらむことになります。
情報が漏洩し関係者に迷惑がかかる可能性がある
セキュリティーリスクを放置し情報が漏洩してしまった場合、自社だけでなく関係者に迷惑がかかってしまう恐れがあります。情報漏洩による自社の損失は言うまでもありませんが、顧客情報が流出した場合は顧客に、取引先の情報が流出した場合は取引先に被害を与えてしまいます。
そのような脅威を誰かに与えてしまった場合、サービスや製品が利用されなくなり、取引を切られてしまう可能性もあるでしょう。自社だけでなく、関係者を守るためにもセキュリティに気を配る必要があります。
自社の競争優位性が失われる可能性がある
セキュリティーリスクを放置し具体的な被害が発生することで、自社の競争優位性が失われてしまう可能性があります。サイバーアタックを受けて損失が発生してしまうと、自社の社会的評価が下がるからです。
社会的評価が下がってしまうことで自社に対する信頼が揺らぎ、取引に必要な情報を委ねてくれなるなどの損失が考えられるでしょう。ビジネスがオンラインに移行している現代において、ITセキュリティーに気を配るのは必須と言って過言ではありません。
最悪、データやシステムがロックされてしまうことも
セキュリティーリスクを放置することで、最悪データやシステムがロックされてしまう可能性もあります。データやシステムが攻撃者の手によってロックされてしまったら、それらを使って業務を遂行することができなくなります。
攻撃者は何のためにデータやシステムを暗号化するのでしょうか。それは主に「自身の要求を通すため」です。
分かりやすいのが「データやシステムのロックを解除してほしければ言われた額を支払え」といったものです。攻撃側の動機として「攻撃を行うことで自身に何らかの利益が発生する」が挙げられます。
逆に言うと「彼らの利益の源泉に成りえるものは何か?」を考えることでセキュリティーリスクを潰すことができるかもしれません。
メールを利用した具体的な攻撃手法
続いて、メールを利用した具体的な攻撃手法をいくつかご紹介します。これらが全てではありませんが、攻撃方法の一種として覚えておきましょう。
マルウェア
マルウェアとは、悪意をもって作成されたソフトウェアやコードのことです。メールにおけるマルウェアの感染経路としては、下記のようなものが考えられます。
- 添付されているファイルを開いて感染
- メールに記載されたURLを開いて感染
- HTML形式で書かれたメールを読みこんで感染
添付ファイルやURLをベースにした攻撃は比較的対処が容易(添付ファイルやURLを開かない)ですが、問題はHTML形式で送られるメールです。HTMLは主にWebサイトを作成する目的で使われる言語なので、通常のテキストに比べてできることが非常に多いです。
場合によっては「HTMLメールを受信しない」ことも視野に入れましょう。
フィッシング
フィッシングとは、信頼できる誰かの名前を偽り、悪意ある電子メールを送ることで特定のサイトに誘導し、情報を盗み出す行為です。たとえば、下記のようなものが挙げられるでしょう。
- 銀行から「暗証番号を変更してほしい」というお知らせが届いたので、指定URLにアクセスして変更手続きを行った
- よく利用するECサイトから「安全のために住所や電話番号、支払い情報を確認してほしい」と連絡が来たため、指定URLに接続して改めて必要事項を入力した
「銀行」や「有名なECサイト」を騙り偽のサイトに誘導し、そこで情報を入力し送信させる手法です。防ぐには「送信元を今一度確認する」「指定URLではなく公式サイトから確認する」などが考えられるでしょう。
標的型攻撃
標的型攻撃は、まず標的対象の組織を定め、その周辺を調査しあらゆる手段を講じて攻撃を試みる手法です。メールに限定して話をすると、主な手段は「ウイルスに感染するためのメールを(継続して)送る」というものが挙げられます。
攻撃方法自体はマルウェアと大差ないかもしれませんが、問題は相手側の情報収集性や継続性です。標的型攻撃が行われる場合、攻撃者は組織やそこに属する個人について情報収集し、可能な限り効果的な形で攻撃を行います。
万人を対象としたランダム的なマルウェアとは異なり、特定の対象にフォーカスした分信用されやすいわけです。標的型攻撃を防ぐのは非常に難しいですが、高品質なセキュリティシステムを導入し包括的に情報を保護するなどが対策として挙げられるでしょう。
近年のメールにおける主な脅威とは
メールへのサイバー攻撃の多くは、様々な技術と組み合わせて、他の攻撃と同時に実行されます。例えば、スパムメールにフィッシングURLが添付された場合は、使用しているアカウントが乗っ取られてしまうこともあります。
このような被害を防ぐためには、サイバー攻撃の性質と特性を理解して、適切な対策を講じることが重要です。
そこでこちらでは、近年のメールにおける驚異について紹介します。
ウイルス感染を広める「Emotet」
「Emotet」は、不正なメールに添付される不正なファイルを介して拡散されるウイルスです。Emotetに感染すると、メールアカウントやメールデータが剽窃され、他のウイルスに二次感染してしまう場合があります。
Emotetの感染を利用した攻撃は非常に狡猾で、正規のメールへの返信を装った手口が多いです。
攻撃者はターゲットの情報を抜き取り、実在の相手の氏名、メールアドレス、メールの内容を使用して、あたかも普通のビジネスメールかのように装って、ウイルスを送りつけるのです。
Emotetの恐ろしい点は、感染者からさらに情報を抜き取り、被害を拡大させることも可能なことです。社内で誰かが感染すると、次々に機密情報が抜き取られてしまうことも考えられます。
情報漏えいのリスクを予防するためにも、徹底的な対策が必要です。
ビジネスメール詐欺「BEC」
「BEC」は、企業、従業員、顧客、またはパートナーから金銭を詐取するために、従業員を偽装するビジネスメール詐欺です。
具体的には、従業員を装った攻撃者がターゲットに対し、電信送金や機密情報を開示することを求めます。
BECでは、ソーシャルエンジニアリングの手法と乗っ取られたアカウントを悪用する方法を採用しており、添付ファイルやリンクが含まれない場合も多いです。
どのような特徴なのか、従業員に周知し、対策を講じることが重要です。
悪用の危険がある「ATO」
「ATO」は、IDの盗難や詐欺の一種であり、被害に遭うと、悪意を持った攻撃者にユーザの認証情報が知られ、勝手にアクセスされてしまいます。重要な機密情報が漏えいするリスクがあるため、注意が必要です。
攻撃者はブランドインパーソネーション、ソーシャルエンジニアリング、およびフィッシングを悪用して、認証情報を盗み出し、メールアカウントにアクセスします。
メールアカウントが乗っ取られると、企業のビジネスの運営方法、メール署名、および金融取引の処理方法が知られてしまい、悪用される恐れがあります。
ATOの被害は、ユーザ自身も気づけない場合が多いため、専用のメールセキュリティーシステムを導入するなどの対策が必要です。
メールのセキュリティーを強化するには?
では、次にメールのセキュリティーを強化する方法について考えてみたいと思います。一般的に、下記のような方法が有効です。
ウイルス対策ソフトを導入する
ウイルス対策ソフトを導入することで、メールのセキュリティーが強化されます。ウイルス対策ソフトの多くは日々進化を続けており、一般的な脅威から最新の脅威まで幅広く対応できるからです。
注意点としては、ウイルス対策ソフトによるセキュリティー強化は限定的になりやすいことが挙げられるでしょう。ソフトによって保護できる範囲が異なるため、自社がどのようなセキュリティーを求めているかを事前に明確にする必要があります。
セキュリティーシステムを導入する
セキュリティーシステムを導入すれば、メールのみならず会社全体のセキュリティーを包括的に強化することができます。前述のウイルス対策ソフトが限定的であるのに対し(もちろんソフトによりますが)、セキュリティーシステムはメールも含め多くの範囲で情報やデータ保護に役立つことが見込めるでしょう。
その分、ウイルス対策ソフトに比べるとコストが高くなってしまう可能性があります。どちらを選ぶかは、自社がどの程度のセキュリティーを求めているかで判断する必要があります。
一般的に、セキュリティーを強めれば強めるほど利便性が下がります。不要な部分にまで強固なセキュリティー対策を施すと、業務の利便性が低下し生産性に影響を与えることも考えられるため、慎重に判断しましょう。
メールを使わないようにする
セキュリティーが気になる場合はいっそのこと、業務にメールを使わないのも手かもしれません。メールは遠く離れた人と瞬時に情報をやり取りできる非常に便利なツールですが、テクノロジーの進化に伴い類似のサービスが多々リリースされています。
たとえば、下記のようなものが挙げられるでしょう。
- チャットツール
- テレビ会議ツール
- グループウェア
- 情報共有ツール
これらを駆使することで、メールに勝る情報共有を行うことができます。加えて、クラウドで運用されているものを使えばセキュリティの面でもリスクが生じづらくなるでしょう。
もちろん、これらとメールを組み合わせる方法も考えられます。流出しても問題ないような情報はメールで送信し、重要なものは強固なセキュリティーが施されているサービスを介して送る、といった具合です。
一例として「データ本体は共有ツールで送り、メールでリマインドを送る」などが挙げられます。
メールのセキュリティーを高めるために企業が出来ることとは?
メールセキュリティーを高めるために、企業ができる対策とはどのようなものなのでしょうか。
こちらでは、企業が実行できるメールセキュリティーの方法について、具体的に紹介いたします。
スパムメールフィルタを設定
スパムメールフィルタを設定することで、不正なメールの受信や不正なファイルを展開する危険性を抑えることができます。
スパムメールフィルタは、受診したメールがスパムメールであるかどうかを判定する仕組みです。送信したメールがスパム判定された場合、受け取り手の受信ボックスにメールが届かなくなります。
企業は情報の漏えいを狙う悪意を持ったメールが送信されることも少なくなりません。そのようなメールの受信を前もって避けることが出来るよう、スパムメールフィルタの設定をおすすめします。
メールの暗号化
メールを送信する際に暗号化することで、メールセキュリティー対策を行えます。メールの内容を暗号化することで、盗聴や内容の改ざん、なりすましの被害を予防することが出来ます。
メールの暗号化は「TLS/SSL」または「S/MIME」のいずれかの方法で実行できます。
TLS/SSLはインターネット上でデータ通信を暗号化して送受信する仕組みです。一度設定すると、すべてのメールを暗号化することが出来るため、企業単位で徹底して実行したい場合におすすめです。
S/MIMEは電子署名を利用した暗号化技術で、なりすまし対策もできます。しかし、手順が比較的複雑なため、ITに強い人材に設定を依頼する必要があるでしょう。
誤送信対策を行う
誤送信対策を行うことも、メールセキュリティーを高めるには重要です。メール誤送信が起こる原因はさまざまですが、事前に対策をすればリスクを抑えることも可能です。
具体的には、誤送信を防止するツールを導入することをおすすめします。
メール誤送信防止ツールを利用すれば、自動的に誤送信を防止することができるため、社員の負担を減らすこともできるでしょう。
メールを何度も確認する手間を省きたい場合や、誤送信を予防したい場合は、ぜひ誤送信予防ツールを導入してみてください。
セキュリティー研修を実施する
社内のメールセキュリティー意識を向上するためには、社員一人ひとりがしっかりと対策意識を持つことが重要となります。
メールを使用することでどのようなリスクが考えられるのか、攻撃を受けた場合はどのような被害を受けるのかについて、きちんと知っておく必要があります。
社員の意識を高め、知識を深めるには、セキュリティ研修を実施することをおすすめします。
セキュリティー研修を実施することで、会社全体のメールセキュリティー意識が高まり、攻撃を受ける確率を抑えることができるのではないでしょうか。
特に新入社員や、IT機器に触れる機会が少ない部署に対しては、徹底した情報共有と教育が必要となります。
セキュリティーをより強化するポイント
それでは、最後にセキュリティーをより強化するポイントについて言及したいと思います。
セキュリティーについて学ぶ
セキュリティーについて学ぶことで、自社のセキュリティーを強化する足がかりになります。ITテクノロジーの分野は日進月歩なため全ての知識を得るのは不可能ですが、基礎部分を学習するだけでも効果はあるでしょう。
基本的に、サイバー攻撃のパターンはある程度決まっています。斬新な攻撃方法が生まれることもゼロではありませんが、「人間や組織を騙し情報を盗み出す」のであれば既存の方法で事足りるからです。
既存の攻撃手法を学ぶことで、セキュリティーリスクを
ある程度下げられるでしょう。攻撃者もセキュリティーについて無知な組織を標的にした方が効率がよいため、学ぶことそのものがセキュリティー対策になるとも言えます。
正しいソリューションを選択する
組織のセキュリティーを強化するには、正しいソリューションを選択することが重要です。セキュリティーを強化すればするほど情報やデータは保護されますが、反面利便性は低下します。
セキュリティーを強化しすぎた結果、業務の滞りを発生させてしまっては意味がありません。自社は情報管理においてどのようなリスクを負っているのか、それはどのように解決できるのか、を明確にすることが大事です。
自社のみでの検討が難しい場合はプロへ相談を
ITテクノロジーは高度に特化している分野なので、自社のみでは選択判断が難しいかもしれません。セキュリティーにおいても「自社にはどんなリスクがあるか」「そのためには何を導入しどう活用すればいいか」を明確にして判断する必要があります。
自社のリソースでそれが可能なら問題はありませんが、困難な場合はプロのコンサルタントに相談するのも手です。プロのコンサルタントであれば多くのケーススタディを持っているため、そこから自社にとってのベストな選択を提示してくれることが期待できます。
もちろん全てのコンサルタントがそうであるとは限りません。セキュリティーシステムの導入および運用を成功に導くには、いかに自社に合ったコンサルタントやサービスを見つけられるかが大事です。
まとめ
メールは、遠く離れた人に瞬時にメッセージを送ることのできる大変優れたサービスです。しかし、セキュリティーの面でさまざまな問題を抱えていることも事実ではないでしょうか。
自社にとってベストな選択をし、組織のセキュリティーを強化しましょう。
Microsoftを導入して
コスト効率をよくしたい
Microsoftに関して
気軽に聞ける相談相手が欲しい
Microsoftを導入したが、うまく活用できていない・浸透していない
社内研修を行いたいが
社内に適任者がいない
Bizwindでは、Microsoft導入支援事業などを中心に
IT・DX推進に関する様々なご相談を承っております。
ご相談・お見積りは無料です。まずはお気軽にお問い合わせください。
担当者に今すぐ質問する
すぐに電話で質問
日時指定で折り返し