企業にとって、大切な情報を守るためのセキュリティ対策は必須です。メールを使ったサイバー攻撃も見受けられるため、メールのセキュリティ対策もしっかり行いましょう。この記事では、メールのセキュリティ対策に不安がある方へ向けて、メールの情報漏えいリスクやセキュリティ対策法について解説します。
メールセキュリティの重要性
多くの企業では、コミュニケーションツールとしてメールを活用しているのではないでしょうか。メールがないと仕事にならないという人もいるでしょう。
しかし、利用者が多いこともあり、メールを狙ったサイバー攻撃は少なくありません。毎日のように新しいマルウェアが登場しているという現状もあります。そのため、急速に変化している現代でビジネスを守るためには、あらゆる攻撃を防御できる高度なメールセキュリティが必要です。
メールの仕組み
メールは、サーバーを介して送受信が行われます。自分から相手へメールを送信する場合、メールソフトでメールを作成して送信すると、まず自社のメールサーバーに送られます。そして、自社のメールサーバーが宛先のメールアドレスを確認し、相手先のメールサーバーへメールを送り、相手のメールソフトに受信の知らせが行くという仕組みです。
この一連の流れの中で、自分が送信して相手が受信するまでの間に情報が漏えいするリスクが潜んでいます。
メールに潜む情報漏えいリスク
メールには、さまざまな情報漏えいリスクが潜んでいます。メールを使って情報を盗む攻撃手法はいくつもあるため、対策をとるためにはその手法を把握しておきましょう。ここでは、メールに潜む情報漏えいリスクについて解説します。
マルウェアへの感染
メールを使った攻撃として、メールにマルウェアを仕込むという攻撃手法があります。メールにマルウェアに感染させるためのファイルを添付したり、悪意のあるサイトの URL を記載したりするのが特長です。添付ファイルを開いたり URL をクリックしたりすると、マルウェアに感染します。
マルウェアを仕込むためのファイルとして、実行可能ファイル(拡張子が「.exe」のファイル)や Office ファイル(Word や Excel)が主に使われています。これらのファイルが添付されているメールには、特に注意が必要です。
フィッシング詐欺
フィッシング詐欺とは、正式な組織を装ってメールを送り、偽サイトの URL に誘導して情報を盗む手法です。金融機関や EC サイトを装った偽サイトに ID やパスワード、口座番号やクレジットカード番号などを入力してしまうと、その内容を悪用されてしまいます。
フィッシング詐欺は、その被害件数の多さが特長的で、年々増加傾向にあります。「パスワードが悪用されている」など、メールの文面で不安をあおって巧みに偽サイトに誘導するケースも多いため、思わず URL をクリックしてしまう人もいます。
スピアメール(標的型攻撃)
標的型攻撃とは、特定のターゲットに攻撃を仕掛ける手法です。ターゲットに対して、マルウェアを仕込んだ添付ファイルや悪意のあるサイトの URL を記載したメールを送り付けます。
フィッシング詐欺は不特定多数にメールを送るのに対し、標的型攻撃はターゲットを特定してメールを送るため、件名や内容をターゲットに合わせて変えています。そのため、ターゲットが不審なメールだと気づかずにメールを開いてしまい、攻撃が成功してしまうケースもあります。
BEC
BEC は Business Email Compromise の略で、ビジネスメール詐欺といわれる攻撃手法です。攻撃者がターゲットの取引先や上層部などになりすましてメールを送り、機密情報を引き出したり偽の口座に送金するよう指示したりします。
メールアカウントを乗っ取ったりメールを盗聴したりして、過去のメールのやりとりから不自然さのない内容のなりすましメールを送ってくるため、攻撃を受けた側が詐欺だと気づきにくいのが特長です。
メールの盗聴
メールの盗聴とは、メールが送信されて相手に届くまでの間に第三者がメールを盗み見ることをいいます。不正アクセスによってメールを盗聴されると、メールに記載されている個人情報や機密情報が悪意のある第三者にわたってしまうかもしれません。
ID やパスワードが盗聴されて不正アクセスに利用されたり、顧客の個人情報が流出して社会的信用をなくしたりするケースが考えられます。また、盗聴した内容を使ってスピアメールや BEC を仕掛けられる可能性もあります。
人的操作によるリスク
メールによる情報漏えいは、サイバー攻撃だけが原因ではありません。ここでは、人的操作による情報漏えいのリスクについて解説します。
メールの誤送信
メールの誤送信は、情報漏えいを引き起こす重大な要因の一つです。送信先のメールアドレスを間違うと、送るべきではない人に個人情報や機密情報を送ってしまうことになります。特に、1日に何通もメールのやりとりをしているとケアレスミスが起こりやすく、情報漏えいの可能性が高まるため、注意が必要です。
BCC と CC の使い間違いも、トラブルの原因となります。例えば、顧客への一斉メールを BCC でなく CC で送ってしまうと、メールを受け取った全員に他の顧客のメールアドレスが表示されてしまいます。
添付ファイルの間違い
添付ファイルの間違いも、情報漏えいにつながる人的ミスです。外部に漏れてはいけないファイルを誤って添付してしまうと、情報漏えいにつながります。大勢への一斉メールに間違ったファイルを添付してしまうと、機密情報が一気に広がってしまうなど、大きな問題に発展するケースもあります。
メールにファイルを添付する方法は、ファイルの選択方法やドラッグ&ドロップなど複数ありますが、どの方法でも添付ファイルの選択ミスは少なくありません。
受信時のメールセキュリティ対策
サイバー攻撃などによる情報漏えいを防ぐためには、メール受信時の対策が必要です。適切な対策を実施しておけば被害を最小限にとどめられるケースもあります。大きな情報漏えい事件を防ぐために、事前に対策を行っておきましょう。ここでは、受信時のメールセキュリティ対策について解説します。
ウイルス対策ソフト
マルウェアによる情報漏えいを防ぐには、ウイルス対策ソフトの導入が効果的です。ウイルス対策ソフトを導入しておくと、パソコンがマルウェアに感染したり他のパソコンに感染を拡大させたりすることを防げます。また、添付ファイルを開く前にウイルススキャンを行って、安全なファイルかどうか確認するという使い方も可能です。
ウイルス対策ソフトは、パターンファイルというマルウェアの情報を記憶したファイルを使い、その情報と合致するマルウェアを検知します。そのため、パターンファイルに情報がないマルウェアは検知できません。マルウェアをしっかり検知するためには、パターンファイルを常に最新の状態にしておくように注意しましょう。
スパムメールのフィルター設定
フィッシング詐欺など、不特定多数に送られるスパムメールはフィルター設定を行うことで対策できます。
フィルター設定には、サーバー側で行うものとユーザー側で行うものがあります。サーバー側でフィルター設定を行うと、スパムメールと判断されたメールは自動で処理され、ユーザーには届きません。ユーザー側のフィルター設定は、特定のメールアドレスを受信拒否したり、指定のフォルダに振り分けられるようにしたりすることで、スパムメールが届くのを防ぎます。
スパムメールには「配信停止はこちら」などの URL が記載されているケースがありますが、これはクリックしないようにしましょう。クリックしてしまうと、利用中のアドレスだと判断されてさらにスパムメールが送られてくるケースや、フィッシングサイトに誘導されるケースもあります。
メールの無害化
メールの無害化とは、メールの本文や添付ファイルを変換して、攻撃できない形式にする方法です。具体的には、添付ファイルの内容や HTML 形式のメールをテキスト化する、本文に含まれる URL をクリックできなくする、メール本文を画像化するなどの方法があります。
これらの対策を行うことで、添付ファイルを開いたり URL をクリックしたりできなくなり、マルウェアへの感染を防ぎます。
メールの無害化を行う場合、処理前の添付ファイルや URL が有効になったものを受信したいときはシステム管理者などに依頼してオリジナル版を手に入れる必要があるため注意しましょう。
送信時の注意点
メールによる情報漏えいを防ぐには、受信時だけでなく送信時にも注意が必要です。ここでは、送信時の注意点について解説します。
メールの暗号化
メールを暗号化しておくと、盗聴や改ざん対策になります。暗号化されていないメールは悪意のある第三者に盗聴されたり内容を書き換えられたりするおそれがありますが、暗号化を行うとそれらを防ぐ効果があります。
すべてのメールを暗号化できる TLS/SSL という仕組みや、電子署名を使ってなりすましを防ぐ S/MIME という仕組みなどが利用できるため、適切に暗号化を行いましょう。
メールの誤送信対策
メールの誤送信はヒューマンエラーで発生します。そのため、メールを送信する際には宛先や添付ファイルなどが適切かどうか、しっかりチェックが必要です。送信前のチェックで誤送信は減らせますが、さらに対策を行う場合はメール誤送信対策のサービスを利用しましょう。
送信メールの一次保留ができるソフトや、送信ボタンをクリックすると注意喚起のポップアップが表示されるソフトなど、誤送信を防ぐための機能が備わったソフトやサービスが提供されています。
まとめ
メールはさまざまなサイバー攻撃に利用されるため、使用の際には注意が必要です。セキュリティ対策が不十分だったり、利用する人がミスをしてしまったりすると、大きなセキュリティ事故が発生するケースもあります。人的ミスがないよう一人一人が注意しながら、必要なセキュリティ対策ツールなども導入して、情報漏えいを防ぎましょう。
SBテクノロジーでは、メールのセキュリティ対策に役立つサービスを複数提供しています。「Mail Safe」は、メールの誤送信を防止するサービスです。送信拒否や送信メールの一次保留、添付ファイルの暗号化などの機能をオールインワンで提供します。
Outlook を利用している場合は、Outlook アドインツールである「Mail Alert」もおすすめです。誤送信を予防するアドインツールで、警告画面の表示や宛先確認、BCC 強制変換など、豊富な機能をクライアント PC へインストールする形で利用できます。
「Mail Vault」は、送受信メールのアーカイブをクラウド型で提供するサービスです。アーカイブされたデータは一般的には削除・改ざんできません。1年間データをクラウド上に容量無制限でアーカイブ可能です。
メールのセキュリティ対策にお悩みの場合は、これらのサービスの活用をぜひご検討ください。
