メールによるサイバー攻撃が後を絶たないのは、騙される人がいるからにほかなりません。昨今のメールによる攻撃は、一見すると偽物や詐欺メールと気づかない巧妙な手口で仕掛けてきます。被害を未然に防止するためには、メールセキュリティ対策が不可欠です。今回は、対策すべき脅威の種類やツール選定のコツについて解説します。
メールセキュリティ対策の重要性
近年、機密情報を盗み出そうと企むサイバー犯罪が多様化・巧妙化してきています。さまざまな不正行為のうち、現状ではメールによる攻撃が増加しています。犯罪者は、わずかな隙を突いて巧妙な手口で攻撃を仕掛けてきます。過去にはセキュリティ対策が十分と思われた政府機関においても、メールを介して大勢の個人情報が流出した事例がありました。実害について定かではありませんが、当時は重大な不祥事として大きな社会問題になりました。
しかし、その後も第三者による不正アクセスの痕跡が確認されるなど、不穏な侵入は後を絶ちません。多くのサイバー攻撃の入口となってしまうのがメールです。メールは、一目で迷惑メールとわかるもの以外は、内容をチェックするために開封せざるを得ません。その際の不用意な操作が、リスクに晒される結果を招きかねないのです。企業の喫緊の重要課題として、堅牢なメールセキュリティ対策を施すことが不可欠です。
対策すべきビジネスメールにおける6つのリスク
サイバー攻撃を狙った悪意あるメール以外にも、メール送受信の際にはリスクがつきものです。企業はあらゆる事例を想定して、メールによる脅威から情報資産を徹底的に保護しなければなりません。以下では、情報セキュリティ上のインシデントになりうる6つのケースについて解説します。
迷惑メール
迷惑メールにも色々ありますが、代表的なのは「スパムメール」と「フィッシングメール」でしょう。
スパムメールは、一方的に送られてくる宣伝目的のメールです。受信者の興味や嗜好とは無関係に、大量に一括送信してくるケースがほとんどで、怪しげな内容の広告や不自然な日本語のものも多く見かけます。単純に不特定多数へ宣伝して、掲載したURLへの誘導を目的とするものや、誘導で発生する広告収入を目的とする場合もあります。無害のものもある反面、中にはマルウェアの感染を狙うものもあるため注意が必要です。
一方、フィッシングメールとは、企業の公式サイトとそっくりに偽装したサイトに誘導し、クレジットカード番号やアカウント情報などを入力させて、個人情報を盗み出そうとする詐欺メールです。素人目では偽装を見抜くのが困難で、公式からの注意喚起が行われるまで気づかないケースもあるなど、非常に質の悪いメールといえます。
標的型攻撃メール
大量に送りつける迷惑メールと違って、ある特定の企業や組織、個人などに狙いを定めて送られるウィルス付きのメールを「標的型攻撃メール」と呼びます。取引先との業務連絡と見分けがつかないように偽装した巧妙な手口で送られるため、まさか偽物とは思わなかったという声が多数です。警戒することなく添付ファイルやURLのリンクを開いてしまい、ウィルスの感染に気づいたときには、すでに機密事項の漏えいや不正アクセスなどの被害が認められたと報告されています。
ビジネスメール詐欺
標的型攻撃メールと似た詐欺メールの一種に、「ビジネスメール詐欺」があります。こちらは、機密情報を盗み取るのが目的ではなく、金銭を騙し取ることを目的とする点が異なります。自社の経営幹部に成りすまして、指定の口座に資金移動させたり、本物の取引先とやり取りしている間に、相手企業に成りすましたメールで請求書を送りつけたりといった手口です。疑問をもたずに指示された口座に送金してしまうと、被害額も莫大になりうる危険性のある悪質な詐欺メールです。
マルウェア感染
「マルウェア」とは、コンピュータウィルス・トロイの木馬・スパイウェアなどの悪質なプログラム全般を指す言葉です。マルウェアが仕込まれた添付ファイルをメールで送りつけたり、メール本文に不正サイトのURLを記載して誘導したりします。また、不正アプリをインストールさせるなどの手口も確認されています。
マルウェアに感染すると、個人情報を盗まれたり、保存しているファイルが書き換えられたり、外部に情報を流出させたりといった被害が生じます。これらのリスクはいずれも、不用意にファイルを開かない、従業員へのメールセキュリティに関する意識改革などで対策が可能です。
メールの盗聴
メールは、電子メールアドレスにユーザーIDとパスワードの組み合わせで、どこからでも読めます。メールを盗み読まれたため、重要な情報が漏えいする被害報告も確認されています。IDやパスワードに推測しやすい文字列を設定した場合、個人を知る他人や第三者から特定される可能性が高まります。企業で使う個人の電子メールのIDやパスワードを入手された場合、不正アクセスに利用されたり、顧客の個人情報などが流出したりするなどが考えられます。また、他人のメールを開いて覗き見する以外に、メール送受信の各ポイントで通信を傍受される犯罪も報告されています。これが「メールの盗聴」と呼ばれるものです。
メール受信時にIDやパスワードなどのアカウント情報を入力した場合、暗号化していないとこのまま通信されてしまいます。どこかのポイントで通信を傍受された場合、メールのアカウント情報が筒抜けになってしまい、簡単に第三者がアクセスできてしまうのです。企業の不祥事がSNSをきっかけにメディアなどで大々的に取り上げられ、社会的信用を失うケースも増えています。これらのリスク回避のためには、通信を暗号化し、電子メールセキュリティを徹底することが大切です。
メールの誤送信
メールの送り先を間違える、誤ったファイルを添付するなどの人為的なミスもあるでしょう。人が操作する以上、ミスを100%防ぐのは難しい面もあります。しかし、悪意がないからといって簡単に見逃すわけにもいきません。仮に、取引先に誤ってライバル企業の情報を漏えいさせてしまった場合、損害賠償を要する訴訟問題に発展しないとも限りません。送信前の二重チェックなど厳重な対策が不可欠です。
メールセキュリティシステムの選び方
日々の業務で頻繁にメールをやり取りしていると、ともすれば危機管理に対する意識が希薄になることもあるかもしれません。扱うメールの内容にもよりますが、従業員間で認識の違いは生じやすいものです。昨今のサイバー犯罪の実例を理解し、受信するメールと送信するメールそれぞれに対して慎重に扱う必要があるでしょう。
企業としてメールセキュリティを強化するには、メールセキュリティシステムのサービスを利用するのもひとつの方法です。メールセキュリティシステムなら、外部から届くメールを自動判定し、脅威になるメールを防御してくれます。そこで以下では、自社に合ったサービスの選び方を解説します。
タイプから選ぶ
メールセキュリティシステムのタイプは、「クラウド型」「ゲートウェイ型」「エンドポイント型」の3つに大別されます。自社で導入するならどのタイプが使いやすいか、特徴を把握したうえで比較検討してみましょう。
クラウド型は、クラウド上でメールを管理するタイプで、社内サーバーなどを用意してシステム構築する必要がなく、安価で導入しやすい特徴があります。社内外のどこからでも利用できるため、昨今増えているリモートワークでも安全に利用できます。
ゲートウェイ型は、社外のネットワークの出入口で不審なアクセスを検出・遮断する、監視所のようなものです。サーバーで一括して管理するため、端末の台数に関係なく利用できます。
エンドポイント型は、従業員個人が使う端末それぞれにインストールして使用するタイプのセキュリティシステムです。導入や更新作業は1台ごとに行うため、台数が多いほど手間や運用コストがかかります。
機能で選ぶ
セキュリティ機能は、利用するサービスや選ぶプランなどによって適用範囲が異なります。多彩な機能をすべて利用する場合、既存のセキュリティ機能と重複する部分も出てくるでしょう。機能が多いほどよいというわけではなく、PCの動作を重くする原因や、無駄なコストが生じる原因にもなりうるため、必要な機能と不要な機能を見極めて導入することが大切です。
価格で選ぶ
メールセキュリティの価格設定には、さまざまな形式があります。企業規模や契約プランにより何段階かの価格帯を設け、利用しやすくしているケースが多く見られます。アカウント単位で設定している場合、ユーザー数の上限が決められているものもあるため、事前に制限人数と価格をよく確認しておきましょう。企業規模が大きい場合、ユーザー数に影響しないドメイン単位での契約のほうが、割安感がありおすすめです。
既存システムとの連携で選ぶ
メールセキュリティの導入には、既存システムとうまく連携できるかも重要なポイントです。たとえば、システムを使って定期的にメールの一斉送信を自動化している場合、導入するメールセキュリティシステムとの相性なども事前に確認しておくべきです。使用頻度の高いOffice 365や、Google Appsなどともスムーズな連携が可能か確かめておくとよいでしょう。
まとめ
メールによるサイバー攻撃の脅威を回避するためのソリューションとして、メールセキュリティシステムの導入が有効です。Microsoft 365は「Exchange Online Protection」によりメールセキュリティが確保されているため、安心して利用できます。