これだけは知っておきたい！ メールを使った脅威とセキュリティー対策

メールには、個人情報や機密情報などの重要なデータが含まれる場合があります。誤送信やPPAP運用、その他の攻撃により個人や会社の情報が攻撃者に漏洩すれば、企業や個人に大きなリスクが生じます。経済的な損失や信頼を失う事態への発展も考えられます。メールに起因したトラブルを防ぐためにも、メールセキュリティーの強化は企業にとって社会的責務と言えるでしょう。

メールを介して行われる主な攻撃手段の「スパム」「フィッシング」「マルウェア感染」について、解説します。

スパムとは、不特定多数の人にランダムに送付される迷惑メールです。スパムメールは広告や宣伝だけでなく、詐欺目的で送信される場合があります。

スパムメールの多くは、以下の特徴があります。

• 差出人が不明、もしくは不自然
• 件名や本文が他言語、または日本語が不自然
• 商品やサービスへの誘導、ビジネスや取引の持ちかけ、金銭の要求といった内容が記載されている。災害支援など時事的な話題を利用した内容もある
• 不正なサイトのURLを記載してフィッシングサイトに誘導させる
• ウイルス付きの添付ファイルを実行し、解凍して展開することでウイルスに感染させる。

悪質なスパムメールの内容には、主に以下のような種類があります。

①架空請求メール
「ネットで利用したサービスの料金が支払われていない」など、架空の内容で金銭を請求するメールです。「すぐに対応しなければ法的手段に訴える」など、焦りを誘って判断力を低下させてアクセスを誘導します。

②脅迫メール
「ネットから個人情報を入手した」「流出した画像を持っている」など、でっち上げによって何らかの行為を行うように脅します。

③違法行為の勧誘メール
「この製品を高評価すれば何かしらのインセンティブが得られる」といった内容で騙します。そのほとんどはインセンティブが得られない詐欺的な内容が大半です。仮にインセンティブが得られたとしても商道徳的に問題があるだけでなく、違法行為を問われる場合もあります。

④チェーンメール
「このメールを複数の人に転送し、拡散することで困っている人々の助けになる」など、善意に付け込んで騙します。実際には、フィッシングメールの拡散や有効なメールアドレス奪取の手段が目的です。

フィッシングとは、正規の企業や組織になりすましてユーザーの個人情報やIDやパスワードなどの情報を盗み取る詐欺行為です。

フィッシングメールには、以下のような特徴があります。

• 差出人が正規の企業名や組織名を装っている
• 緊急性や重要性をアピールしている
• 添付ファイルの開封やリンクへのアクセスを促している

通常のメールに似せて作られたフィッシングメールには「アカウントが無効になる」「物品が購入された」「不正なアクセスがありパスワードの変更が必要」など、緊急性や重要性をアピールして不安を煽ります。ユーザーを心理的に惑わし騙そうとする悪質な手法です。

フィッシングメールに含まれたリンクにアクセスしてしまうと、正規サイトのログイン画面を正確に模倣したWebサイトへと誘導されます。偽のサイトにIDやパスワードを入力してしまえば情報が漏洩してしまいます。

その結果、アカウントの乗っ取りや不正アクセスの発生など損失を被る可能性があります。特に、ファイナンス関連のサービスで使用中のIDやパスワードが漏れてしまえば、経済的な損失が発生することも考えられます。もし顧客情報が漏洩してしまえば、社会的な信用を大きく傷つけてしまうでしょう。

資材調達でネット通販を利用していた機械部品製造工場。普段利用するネット通販会社からのメールになりすましたフィッシングメールが、たまたま本物の購入メールに紛れて届きました。フィッシングメールに書かれた「アカウントのエラー通知」に促されて、メール内のURLから誘導されたWebページにログインしてしまったそうです。

結果、企業の法人クレジットカードが何者かに利用されてしまいました。クレジットカード会社に不正利用被害を申告したことで代金は保証されましたが、フィッシングメールの巧妙さを物語る怖い事例です。

このように実際に被害にあった企業に限らず、ITサポートの現場では怪しいメールなどについて相談を受けることが非常に多くなっています。その際にはフィッシングメールの判別に効果的な以下のような対処法をアドバイスしています。

【１】ユーザー管理ページの確認
「システム更新によるパスワード変更依頼」など、Webサービスなどからの通知を模して巧妙に作られた真偽の判断が難しい通知メールを判別する方法です。メールのリンクを直接踏まず、ブックマークや検索などから送信者の正式なトップページへアクセスします。もし、何か重要な問題が発生していればトップページのインフォメーション欄に「重要なお知らせ」など、メールと同じ内容があるはずです。

個別通知として疑わしい内容が届いている場合は、さらにサービスにログインし、ユーザー管理ページを開いて連絡事項の有無を確認します。実際に問題などが発生していれば、そのユーザーに通知や連絡が届いて表示されているはずです。

「身に覚えのない購入や課金」の示唆など、メールの内容によっては、まずアクセスログなどで利用状況や履歴などを同時に確認します。通知や内容にて特に異常が確認できなければ、その通知メールは偽のメールであると判断できます。

【２】リンク先を調査
事業を行っていると仕事の依頼や問合せ、業務提携希望などのメールが届くことがあります。仕事の内容や条件が自身に有益な情報だった場合、心理的に警戒が緩むことがあります。そのような場合であっても、添付ファイルやリンクなどに直接アクセスしないようアドバイスしています。

判断が難しい場合は導入しているセキュリティー対策のURLチェック機能でリンクのアドレスを調べるなど、URLを調査できるWebサービスなどの利用を勧めています。また、ホームページの存在のみで信頼性を判断しないようアドバイスしています。

標的型攻撃とは、特定の組織・企業や個人をターゲットにメールを送る手法です。フィッシングメールは不特定多数を対象とした「釣り竿型」で、魚が掛かるのを待つ攻撃です。一方で「標的型攻撃」は特定のターゲットに絞って攻撃する「銛（もり）型」です。見えている魚影に向かってピンポイントに銛を射るような方法で、積極的に攻撃を仕掛けるため、より脅威になります。

標的型攻撃を行う送信者は、標的となる組織や企業、個人の情報を収集し、その情報をもとに巧妙なメールを作成します。対象企業に実在する社員や、関連する取引先の個人名などを利用する場合もあります。疑う余地のないメールは判別が非常に困難です。警戒を解くことでメール内のURLや添付ファイルなどにアクセスさせやすくします。結果、マルウェアに感染したり、個人情報やパスワードを盗まれたりと、被害に遭う可能性が非常に高まります。

標的型攻撃は、こうした内容で行われる場合があります。

• 請求書や納品書などのビジネス書類を装ったメール
• 緊急事態やトラブルを告げるメール
• 社内文書を装ったメール
• 顧客からのクレームを装ったメール

特に顧客からのクレームを装ったメールは、緊急性や重大性を告げられる内容で落ち着いて判断ができず警戒心が弱まってしまうため特に注意が必要です。

スパムメールやフィッシングメールなど攻撃を受けた結果、起きてしまう被害の一つに「マルウェア感染」があります。マルウェアとは、コンピュータやネットワークに悪影響を及ぼす悪意のあるソフトウェアのことです。

送られてきた添付ファイルやリンクにアクセスすると、マルウェアがダウンロードされPCが感染する場合があります。

マルウェアは「ランサムウェア」「ウイルス」「トロイの木馬」「ワーム」など、さまざまな種類があります。

• ランサムウェアは、ファイルを暗号化し復元と引き換えに金銭などを要求
• ウイルス感染するとデータが盗まれるなどの被害を引き起こす
• トロイの木馬は、正規のソフトウェアに偽装して、システムを乗っ取ったり個人情報を盗んだりする
• ワームは、ネットワークを介して自動的に拡散し、他のコンピュータに感染し悪意ある行動をとる

マルウェアは、コンピュータやソフトウェアにある脆弱性が狙われる場合が多いため、対策が必要です。

メールセキュリティー対策には、大きく分類して「マテリアル手法」と「メソッド手法」があります。

マテリアル手法とは、ハードウェアやソフトウェアなど「物」による物理的な対策のことです。例えば、メールサーバのセキュリティー強化を目的としたファイアウォール導入、セキュリティー対策ソフト導入、メールフィルター設定などが該当します。

また、偽装リンクなどに対応する物理的対策として、利用端末台数が多い場合には「UTM（統合脅威管理装置）」などの導入も対策の一つです。

メールによる攻撃にはIT環境に存在する脆弱性を狙ったものが数多くあります。そのためメールに関わる部分への対策だけでは十分とはいえません。OSをはじめとして利用している様々なソフトウェアはもちろんのこと、すべてのネットワーク機器、端末といったハードウェア内のファームウェア、プログラムにも脆弱性が存在する場合があります。

それらを放置すれば、メールへの脅威が発端となり企業内全体の問題に発展することも考えられます。情報収集を絶えず行い、プログラムを常に最新にしておくなど脆弱性への対策も欠かさずに行うことが必要です。

ルール策定や運用面など「人」に対する対策はメソッド手法と呼ばれ、メール送受信時のルールの策定や、従事者へのセキュリティー教育、講習などが該当します。

eラーニングなどの実施により、セキュリティーへの意識向上や最新情報の取得を図ることでヒューマンエラーを最小限に抑えることが可能です。具体的には、メール内容やリンクが正しいか、ある程度検証できる手段を身につければ被害の回避につながります。

スパムや迷惑メールに対する対策として、メールアドレスの変更を思いつくかもしれません。変更当初は確かに効果があります。しかし、ランダム生成による攻撃や送信先で起こるアドレスの漏洩などにより、効果が次第に失われます。

フィッシングやスパム攻撃へ対抗する効果的なメソッド手法の一例として、用途や宛先別にメールアドレスを使い分けて管理するという手法があります。それにより、用途や宛先が明らかに異なるメールが届くことで攻撃メールの判別が容易になります。

マテリアル手法は、ほぼ自動的にマルウェアやフィッシングメールなどの攻撃を検知・防御する効果があります。しかし、最新のウイルスや未知の脅威を完全に防げないことも。必ずしも、100％脅威を排除できるわけではありません。もし運用方法が不適切で管理が不十分な場合は、効果が薄れてしまいます。

物や仕組みによる手法への依存度が強すぎるとつい警戒が緩みがちになるため、マテリアル手法とメソッド手法を組み合わせ、総合的なセキュリティー対策を講じることが重要です。

先ほど少し触れたように、対策を強化するためにe-ラーニングの導入は効果的です。教育を通して自発的にセキュリティーへの関心を促し、物理的な対策の弱点を可能な限りカバーすることで、より効果を高められます。

具体的には、解説動画の視聴をはじめ、より実践的な取り組みとして仮想的にメールのやり取りを通じて実際の操作を体験する、専門家などを招いた講習会などを開催するなどの取り組みが考えられます。

メールセキュリティー製品を選ぶ際には、3つのポイントを押さえておきましょう。

メールセキュリティー製品は、マルウェア感染やフィッシング、スパムなど、さまざまな脅威に対応している必要があります。ウイルスなどの亜種も検知可能な「ヒューリスティック検知（※）」に対応している製品が最適です。また、悪意のあるWebリンク検知に対応していることも検討する際に考慮しましょう。

メールセキュリティー製品は、自社のメールサーバの環境や利用環境に合っている必要があります。メールクライアントを利用する場合とWebメールを利用する場合など、自社の環境に合う製品の特徴を良く確かめて、社内の利用形態に合う製品を検討しましょう。

クラウド上でメールを管理する場合には、クラウド運営者が有償で提供するサービスプランを利用することでより一層安全性が高まります。自社内にサーバを設置する必要がないため、初期費用が抑えられ短期間で導入できます。オプションの利用で様々な機能の拡張も可能です。

自社でメールサーバを設置、管理している場合のセキュリティー対策は専門的な知識や相応のコストが必要です。ゲートウェイ型にはクラウド型、オンプレ型などの導入形態がありますので、どんな製品が適しているのかをよく検討しましょう。

端末にセキュリティー対策ソフトとして、インストールして利用します。主にメールクライアントを利用している場合はエンドポイント型が適しているでしょう。

【Webメール利用の場合】
Webメールを利用している場合は、Webブラウザに対する安全性を管理できるセキュリティー対策が必要です。Webメールサービス自体が提供しているセキュリティーツールのほか、セキュリティー対策ソフトウェアのプラグインまたは拡張機能を利用する方法があります。特に、IDやパスワードの漏洩防止対策がある製品が好ましいでしょう。

【メールクライアント利用の場合】
メールクライアントを利用している場合は、セキュリティー対策ソフトの機能のほか、メールセキュリティーに特化した対策ソフトが適しています。

メールセキュリティー製品は脅威に対して強力な防御力が求められます。しかし、誤検知やトラブルが多く発生するようでは業務に支障が生じるだけでなく、経済的な損失も被ってしまいます。

そのため、誤検知に対する対応のしやすさやトラブル時のサポートが迅速かつ的確な製品が求められます。

ITを活用されている現代において、利便性の高いメール通信はビジネスコミュニケーションにおいても欠かせないツールの一つです。同時に、メールを利用した不正行為やサイバー攻撃のリスクは以前にも増して高まっています。企業にとって、最も警戒すべき脅威といっても過言ではありません。

メールセキュリティーは、インターネットセキュリティーと同じく企業にとって重要な責務です。メールを介した様々な攻撃に対し、日ごろからセキュリティー対策について理解を深め、適切な対処方法を知っておくことが欠かせません。物や仕組みに頼るだけでなく、利用者のリテラシー向上も必要です。

メールセキュリティーでは、脆弱性を狙った1通のメールが企業全体の問題に発展する可能性があります。「蟻の一穴」という言葉は、たとえ強固な堤防でも蟻が空けた小さな穴を発端にして決壊することを指し、さまざまな場面で「些細な問題でも放置すれば大きな問題に発展する」という意味で使われています。

メールセキュリティーの問題は、まさに「蟻の一穴」と言えるでしょう。深刻な問題となる前に、狙われやすい脆弱性の存在について常に危機意識を持ち、そのためのリソースを惜しむことなく対策を行う必要があります。

企業全体で安全かつ安心できるメール運用を可能にするため、自社の環境に適したメールセキュリティー対策を実施しましょう。