メールからビジネスチャットの利用が広まっている一方で、業務においてメールの利用はいまだに多くを占めています。
しかし、情報セキュリティの観点でみると、メールの利用にはさまざまなセキュリティリスクや脅威が潜んでいます。
メールのセキュリティリスク、メールの脅威、企業がとるべきメールセキュリティ対策についてみていきましょう。
メールのセキュリティリスク
メールは連絡や情報共有の手段としてとても利便性の高いものですが、ちょっとしたミスで意図しない相手に情報が漏れてしまう可能性があります。
また、企業のサーバーに侵入したり情報を盗もうとする悪意ある存在にとっても有効な手段であり、メールの利用にはさまざまなセキュリティリスクがあります。
マルウェアへの感染
メールの利用で一番気を付けるべきなのは、添付ファイルの開封やURLのクリックによるマルウェアの感染です。
マルウェアとはユーザーに不利益をもたらすことを目的として作られているプログラムやソフトウェアのことで、ウイルスやワーム、スパイウェアもマルウェアの種類に含まれます。
マルウェアに感染すると、個人情報や機密情報を抜き取られる、データを改ざんされる、サイバー攻撃の踏み台として使われるなどの被害にあう恐れがあります。
情報漏えい
社員の人的ミスであるメールの誤送信による情報漏えいも、メールの利用において考えるべきリスクのひとつです。
ちょっとした不注意から、訴訟問題や社会的信用の低下にまで発展する恐れがあるため、メールを頻繁に利用する会社では誤送信を防ぐ対策を導入する必要があります。
標的型攻撃
近年増えているのが、特定の相手をターゲットにして信用させ情報窃取などをおこなう「標的型攻撃メール」です。
標的型攻撃メールを開くことでマルウェアに感染するリスクがあるほか、次の標的型攻撃のために情報を悪用される恐れもあります。
やりとりのある会社を次の被害者にしたり、さらに被害を広げる起点にされたりすることを防ぐためにも、標的型攻撃のパターンや特徴を学び備えておくべきでしょう。
不正サイトへの誘導
メールのURLを窓口として、不正サイトに誘導し銀行口座やクレジットカードなどの情報を入力させたり、意図しない契約が成立したようにみせかけ金銭を脅し取るという手口もあります。
フィッシングサイトやワンクリック詐欺のメールは個人のアドレスだけでなく会社のアドレスに送られてくる可能性もあるため、対策が必要です。
サービス妨害攻撃
ターゲットのウェブサイトやサーバーに対して、複数のPCから過剰なアクセスやデータを大量に送付するサイバー攻撃を「DDoS(Distributed Denial of Service attack)」といいます。
メールがこのサービス妨害攻撃を受けると、メールサーバーに大きな負荷がかかり、メールを正常に利用できなくなります。
社内外との大事なやりとりをメールでおこなっている場合、連絡が遅れたり見落とされたりして信用問題につながる恐れがあります。
近年のメールにおける大きな脅威は「Emotet」と「BEC」
IT技術と同様に、メールにおける攻撃方法も日々進化を遂げています。
そのなかでも近年の大きなメールのセキュリティ脅威とされているのが「Emotet」と「BEC」です。
経済産業省や情報処理推進機構が公開している資料をもとに、それぞれの特徴と事例について紹介します。
情報窃取とウイルス感染を広める「Emotet」
Emotet(エモテット)は、情報の窃取や他のマルウェアへの感染のために利用されるマルウェアで、メールを介して感染するものです。
経済産業省の商務情報政策局サイバーセキュリティ課が公開している「主なインシデント事例」によると、2019年10月頃に複数の企業でEmotetの被害が相次いだのち、2021年1月に対策がおこなわれ一時は落ち着いたものの、2021年11月後半より活動の再開が確認され、2022年2月から感染が急速に拡大しているとされています。
Emotetにもさまざまな手口がありますが、もっとも注意が必要なのは、正規のメールへの返信を装っている手口です。
経済産業省所管の独立行政法人である情報処理推進機構が紹介している例では、攻撃メールの受信者が取引先に送信したメールがそのまま引用され、相手が返信したかのように見える文面になっています。
本文には取引先の相手の氏名やメールアドレスが署名のような形で記載されており、攻撃者が付け加えた文章はごく一部で、ビジネスメールでよく交わされる定型文言となっているため、ひとめで攻撃メールだと見抜くことは難しいでしょう。
このメールに添付されたWord文書ファイルを開き、「編集を有効にする」もしくは「コンテンツの有効化」のボタンを押すことで、悪意のあるプログラムが動き外部ウェブサイトに設置されたEmotetをダウンロードしてPCに感染させます。
上記のほかにも、ショートカットファイルやURLリンクを悪用した攻撃の例が報告されています。
巨額の資金を流出させるビジネスメール詐欺「BEC」
BECとはビジネスメール詐欺のことで、偽のメールをターゲットの企業や組織に送り付け、従業員をだますことで資金を搾取するサイバー攻撃をさします。
米国連邦捜査局によると、2016年6月~2019年7月に報告されたビジネスメール詐欺の発生件数は、全米50州と177カ国であわせて約17万件にのぼり、1件あたりの平均被害額は約16 万米ドル(約2,160万円/1ドル135円で計算)と高額であることが特徴です。
情報処理推進機構がはじめて注意喚起をおこなったのは2017年でしたが、それから年々手口の巧妙化が進んでおり、2020年3月に確認された日本語のビジネスメール詐欺では文章に不自然な点が少なく、国内の企業や組織が本格的に標的とされつつある兆候が見られます。
情報処理推進機構が公開している「ビジネスメール詐欺「BEC」に関する事例と注意喚起(第三報)」によると、2019年には日本の大手自動車部品メーカーの欧州にある子会社で外部の何者かによる虚偽の指示により約40億円の資金が流出、また大手新聞社の米国の子会社では経営幹部を装った者による虚偽の指示で約2,900万ドル(約39億円/1ドル135円で計算)が流出したという報道もありました。
実際の事例をもとに分類するとビジネスメール詐欺には以下の5つのタイプがあるとされています。
- 取引先との請求書の偽装
- 経営者等へのなりすまし
- 窃取メールアカウントの悪用
- 社外の権威ある第三者へのなりすまし
- 詐欺の準備行為と思われる情報の詐取
一見すると不審でないメールにも詐欺の手口が隠れているため、気づけるようになるためには、社員にセキュリティ意識向上のための教育をおこなうことが必要でしょう。
企業がとるべきメールセキュリティ対策
企業が取り組めるメールセキュリティについて紹介します。
メールのセキュリティリスクを減らし脅威に備えるためには、なるべく多くの対策を取り入れることが大切です。
ウィルス対策ソフトを導入する
メールセキュリティに欠かせないのが、ウイルス対策ソフトの導入です。
アンチスパムやアンチウイルスなどの基本機能はどの製品も備えていますが、検出率や動作状況、他のシステムとの連携が可能かどうかは異なるため、事前に確認して導入しましょう。
ソフト導入後はこまめに更新をおこなって、最新の状態を保つことも大切です。
スパムメールフィルタ設定
不特定多数に送られる攻撃メールを誤って開いてしまわないためには、スパムメールのフィルタ設定をおこなうとよいでしょう。
スパムメールの設定はメールサービスを提供している会社が過去のスパムメールの傾向を分析し自動で処理する機能を備えているほか、ユーザーが自分で特定のユーザーをブロックするという方法もあります。
メールの暗号化
暗号化ソフトを導入しメールを暗号化すれば、メールの本文や添付ファイルに第三者がアクセスすることを防げます。
暗号化は自動でおこなわれるため、手間をかけずにセキュリティを高められます。
誤送信対策をおこなう
メールの誤送信を防ぐには、メール送信の際の手順やチェック項目を社内で明確化したり、誤送信防止のためのツールを導入したりするという方法があります。
暗号化ソフトに誤送信防止機能がついている場合もあるため、導入の際にチェックするとよいでしょう。
セキュリティ研修をおこなう
多様化する攻撃メールに対応するためには、セキュリティに関する意識や知識を高める社員教育が欠かせません。
最新の事例の共有、標的型攻撃に対する訓練などをおこなうセキュリティ研修を定期的に実施することが望ましいでしょう。
メールの使用自体をやめる
どのような対策をおこなっても、マルウェア感染や情報漏えいのリスクをゼロにすることは難しいでしょう。
一番よいのはメールの使用自体をやめる、もしくは使用機会を減らすことです。
情報やデータの共有にメールを利用している場合は、オンラインストレージやビジネスチャットに移行するのもよいでしょう。
メールセキュリティリスクや脅威を防ぐオンラインストレージ
メールのセキュリティリスクには、マルウェア感染や情報漏えい、標的型攻撃などさまざまなものがあります。
近年大きな脅威となっているEmotetやBECに備えるためにも、企業におけるメールのセキュリティ対策は不可欠です。
適切な対策がおこなえているか不安がある場合は、メールでの情報共有をオンラインストレージとビジネスチャットに切り替えるのもひとつの方法です。
中小企業や官公庁など4,000社で導入実績があるオンラインストレージ「セキュアSAMBA」は、全ての通信とファイルが暗号化されるため高いセキュリティ性を実現できます。
有料版と同等のセキュリティ機能を実装したフリープランでお試しもできるため、メールセキュリティのリスクや脅威を防ぐ対策をお考えの際は、ぜひ無料から使えるセキュアSAMBAをご利用ください。
