誰もが気軽に使う電子メールですが、電子メールには数多くのセキュリティリスクがついて回るものです。適切なセキュリティ対策を行わなければ、後々の被害へつながります。そこで本記事では、電子メールの利用時に押さえておくべきセキュリティリスクの種類や対策について詳しく説明します。
電子メールはセキュリティリスクが多い
電子メールとは、IT機器同士がインターネット等のネットワークを経由して情報をやりとりする仕組みです。最近ではリアルタイムで情報をやりとりできるチャットの利用が増加したものの、それでも相手への連絡手段として電子メールは欠かせないものです。
メールの送受信には、SMTP、IMAP、POP3といったメール専用の規約(プロトコル)がよく使われます。これらは標準だと暗号化などのセキュリティ対応がされていないため、そのまま利用していると送受信のいずれにおいてもセキュリティリスクがあります。
普段は送受信の方法にまで意識することはそれほどありませんが、個人であれ、法人であれ、大切な情報を保護するために適切なセキュリティ対策を行ないましょう。
電子メールのセキュリティリスクの種類
電子メールを利用することで、具体的にはどのようなリスクがあるのでしょうか。今回ご紹介する4つのリスクは、いずれも人的ミスが要因で起こるもので、誰でも遭遇する可能性があります。
マルウェアへの感染リスク
「マルウェア(Malware)」とは、ウイルスやスパイウェアなどユーザーに対して不利益となる動作を行う目的で作成された悪意のあるソフトウェアです。
マルウェアに感染すると、そこからPCに不正アクセスされ、機密情報を盗まれたり、データを破壊されたりします。さらに乗っ取られたPCが、次の攻撃への踏み台として悪用されることもあります。
マルウェアに感染してしまう原因は、USBメモリや不正サイトへのアクセスのほか、フィッシングメールや標的型メールといった電子メール経由が挙げられます。
不正サイトへの誘導リスク
「フィッシング(Phishing)詐欺」と呼ばれる、偽造サイトへ誘導する手法も良く知られたリスクのひとつです。これは送信元や文面を偽造したメールを無差別に送り付けて、本文に記載された偽造サイトへのURLをクリックさせ、個人情報を盗む手法を指します。
クリックした先の偽造サイトは本物に似せて作られているので、ユーザーは気づかずにパスワードやクレジットカード番号などを入力してしまうおそれがあります。
標的型メール(スピア型メール)
前述のマルウェア感染や不正サイトへの誘導手段として利用されるのが、「標的型メール」と呼ばれる手法です。攻撃者たちは、事前にターゲットの情報を収集した上で、関係がありそうな内容のメールを作成・送信してきます。それにより、ターゲットを信用させ、マルウェア付きの添付ファイルを開かせたり、偽造サイトへ誘導させたりします。
フィッシングメールが不特定多数をターゲットとしているのに対して、標的型メールは特定の相手をターゲットにしています。標的型メールは、別名で「槍」を意味するスピア(Spear)型攻撃と呼ばれており、これは事前に情報収集した相手を狙い撃ちすることに由来します。
近年では、Emotet(エモテット)と呼ばれるマルウェアに感染させる標的型メールが発生し、IPAなどの専門機関が注意を促しています。Emotetの特徴は、自分が過去に送信したメールの文面が書かれているなど、「正規メールへの返信」を装う手口が使われることです。
また、標的型メールの中でも特に金銭的な被害をもたらすものをビジネスメール詐欺と呼ぶこともあります。2017年には日本航空が偽造の請求書に対して約3億8,000万円を振り込んでしまう事件が発生するなど、大きな被害が出ています。
機密情報の漏えいリスク
マルウェアに感染した場合やフィッシング詐欺に遭った場合以外にも、メールによる情報漏えいは単純な人的ミスによって起こる可能性があります。
例えば、送信先を間違ってしまい、全く関係のない相手に機密情報を含むメールを誤送信してしまうことが挙げられます。オートコンプリート機能を使うと先頭の文字と一致する候補が自動で表示されるため、本来の宛先とは別のメールアドレスに送信してしまいやすいのです。
1対1のメールであれば被害は少ないですが、中には大量のメールアドレス宛に一斉送信する同報メールで数万、数十万件と誤送信してしまう危険もあります。配信用の専用ソフトウェアを使わない場合、同報メールを送る際はBCC(Blind Carbon Copy)という機能を使い、送信先をほかの受信者に隠すのが一般的です。
本来BCCで送信すべきメールアドレスをTOで誤送信してしまい、大量のメールアドレスが漏えいしてしまう事件は数多く起きています。このような事件では、相手に迷惑をかけ、自社の信頼度低下にもつながります。
そもそも電子メールが危険な理由は、大きく分けて2つあります。一つ目は送信元を偽造できること、二つ目はメール内容を盗聴できることです。電子署名によって送信元の偽造(なりすまし)を防ぎ、メール内容を暗号化することで、リスクを軽減することが可能です。
電子メールで行うべきセキュリティ対策
これまで紹介したようなリスクを防ぐためには、具体的にどのような対策を行えばよいのでしょうか。ここでは電子メールを利用する上で行うべき対策について解説します。
怪しいメールや添付ファイルを開かない
もっとも基本的な対策は「怪しいメールは開かない」ことです。添付ファイルを開くだけでなく、メール自体を開いただけでもマルウェアに感染する場合があります。
怪しいメールとは、件名や送信元が疑わしいものです。日本語が不自然、中国語で使われる簡体字が混じっている、不審なメールアドレス、心当たりのない内容、個人情報を要求する、圧縮または自己解凍形式のファイルが添付されている、といった場合は注意しましょう。
標的型攻撃のように、送信元を偽装してマルウェア付きメールを送信する手口もあるので、常に「このメールは安全だろうか」という意識を持ち、複数の視点から注意深く真偽を確認することが必要です。
HTMLではなくテキストメールを利用
HTMLメールとは、Webサイトの記述言語であるHTMLを使用して作成したメールのことです。太字や文字色といった装飾をはじめ、背景画像をつけるなど、リッチな表現が可能です。さらに小さな画像(Webビーコン)を埋め込むことでメールの開封有無を確認できることから、メールマガジンなどでよく利用されています。
その一方で、HTMLメールはスクリプトと呼ばれるプログラムを記述できるため、マルウェアを埋め込みやすいというデメリットがあります。安全を考慮するのであれば、メールをテキスト形式に設定しておくと受信時にも安全な上、送信先の相手にも安心してもらいやすくなります。また、受信時にスクリプトの自動実行を無効にするのも効果的です。
メールセキュリティソフトの導入
メールセキュリティソフトを導入し、適切なセキュリティレベルを設定するとより安全性が高くなります。
メールセキュリティソフトとは、「メールに埋め込まれたマルウェアを感知して隔離する」「危険な添付ファイルを削除する」「悪意があるサイトへのURLを無効化する」「怪しいメールと判断した場合に警告を表示する」などの機能を持ったソフトウェアです。定期的に更新プログラム(セキュリティパッチ)を適用し、常に最新版の運用をすることが重要です。
また、多くの製品ではサンドボックスと呼ばれる、プログラムを仮想空間で実行する機能を持っているため、もしメールにマルウェアが含まれていても未然に防げます。
定期的な社内セキュリティ教育の実施
定期的に社内勉強会や研修等を実施し、社員一人ひとりが正しいセキュリティ知識を持つように教育することも重要です。攻撃方法は常に進化していくため、社員のITリテラシーを向上することが何よりも大切でしょう。
どんなに強固なセキュリティ対策を行ったとしても、人的ミスによって危険にさらされる可能性は常にあります。逆に「必ずメール送信前には見落としがないかチェックする」「怪しいメールは開かない」といった簡単な対策を徹底するだけで、かなりの危険回避につながります。
関連記事:メールセキュリティソフトとは? その基本的な機能や導入メリット
まとめ
電子メールにはさまざまなセキュリティリスクがありますが、正しい知識を持って適切な設定を行えば、事前に防げることがほとんどです。そのため電子メールをビジネスで利用する際は、忘れずにセキュリティ対策を行いましょう。さらに、もしマルウェアに感染した場合に拡大防止策をスムーズに実行できるよう、運用ルールを整備するなどの準備を行っておくことが重要です。
また、今回ご紹介したセキュリティリスクだけでなく、世の中には次々と新しい攻撃方法が生まれています。未知の危険に対応するためには、社員の根本的なITリテラシーを高めることも同時に行うとよいでしょう。
