誰もが気軽に使う電子メールですが、電子メールには数多くのセキュリティリスクがついて回るものです。適切なセキュリティ対策を行わなければ、後々の被害へつながります。そこで本記事では、電子メールの利用時に押さえておくべきセキュリティリスクの種類や対策について詳しく説明します。
電子メールセキュリティとは?
電子メールセキュリティとは、不正アクセス、フィッシング、マルウェア、スパム、その他のサイバー脅威から電子メールを保護するための手段や方法を指します。個人情報の保護、企業の機密情報の安全確保、およびサイバー攻撃からの防御を目的として、多くの企業が電子メールセキュリティ強化に力を入れています。
メール セキュリティの定義
Microsoftの公式HPでは、「メール セキュリティとは、メール アカウントと通信を不正アクセス、損失、または侵害から保護することです。」と定義されています。
引用:Microsoft公式HPメールセキュリティは、以下のような重要なデータを不正アクセスや情報漏えいから守る技術や手段の総称のことです。
- メールアカウント
- メールの内容
- メールに添付されたデータ
不正アクセスによって盗み出した情報が悪用されたり、情報を盾にして金銭を要求されたりといった被害を受けたケースも存在します。このような被害を防ぎ、企業を守るためにもメールセキュリティが重要視されているのです。
電子メールセキュリティの重要性
電子メールセキュリティが重要視されている理由は、現代の企業間のコミュニケーションにおいて、電子メールは欠かせないものであるためです。
現在では、多くの企業で電子メールのセキュリティ対策が行われており、メールセキュリティ関連のツールやサービスも多く提供されています。多くの組織が機密情報を、電子メールを通じて共有しており、電子メールを業務で利用しているユーザーも多くいます。利用者や利用回数が多い分、被害が拡大し重大なセキュリティ事故につながりやすいため、十分な対策を行わなければならないのです。
情報漏えいなどの被害にあった場合は、金銭的な被害だけでなく企業の信頼喪失にもつながるため、適切な対策を行いましょう。
電子メールはセキュリティリスクが多い
電子メールとは、IT機器同士がインターネットなどのネットワークを経由して情報をやりとりする仕組みです。最近ではリアルタイムで情報をやりとりできるチャットの利用が増加したものの、それでも相手への連絡手段として電子メールは欠かせないものです。
メールの送受信には、SMTP、IMAP、POP3といったメール専用の規約(プロトコル)がよく使われます。これらは標準だと暗号化などのセキュリティ対応がされていないため、そのまま利用していると送受信のいずれにおいてもセキュリティリスクがあります。
普段は送受信の方法にまで意識することはそれほどありませんが、メールの送受信においては大切な情報を保護するために適切なセキュリティ対策を行いましょう。
電子メールのセキュリティリスクの種類
電子メールを利用することで、具体的にはどのようなリスクがあるのでしょうか。今回ご紹介する4つのリスクは、いずれも人的ミスが要因で起こるもので、誰でも遭遇する可能性があります。
マルウェアへの感染リスク
「マルウェア(Malware)」とは、ウイルスやスパイウェアなどユーザーに対して不利益となる動作を行う目的で作成された悪意のあるソフトウェアです。
マルウェアに感染すると、そこからPCに不正アクセスされ、機密情報を盗まれたり、データを破壊されたりします。さらに乗っ取られたPCが、次の攻撃への踏み台として悪用されることもあります。
マルウェアに感染してしまう原因は、USBメモリや不正サイトへのアクセスのほか、フィッシングメールや標的型メールといった電子メール経由が挙げられます。
不正サイトへの誘導リスク
「フィッシング(Phishing)詐欺」と呼ばれる、偽造サイトへ誘導する手法もよく知られたリスクのひとつです。これは送信元や文面を偽造したメールを無差別に送り付けて、本文に記載された偽造サイトへのURLをクリックさせ、個人情報を盗む手法を指します。
クリックした先の偽造サイトは本物に似せて作られているので、ユーザーは気づかずにパスワードやクレジットカード番号などを入力してしまうおそれがあります。
標的型メール(スピア型メール)
前述のマルウェア感染や不正サイトへの誘導手段として利用されるのが、「標的型メール」と呼ばれる手法です。攻撃者たちは、事前にターゲットの情報を収集した上で、関係がありそうな内容のメールを作成・送信してきます。それにより、ターゲットを信用させ、マルウェア付きの添付ファイルを開かせたり、偽造サイトへ誘導したりします。
フィッシングメールが不特定多数をターゲットとしているのに対して、標的型メールは特定の相手をターゲットにしています。標的型メールは、別名で「槍」を意味するスピア(Spear)型攻撃と呼ばれており、これは事前に情報収集した相手を狙い撃ちすることに由来します。
近年では、Emotet(エモテット)と呼ばれるマルウェアに感染させる標的型メールが発生し、IPA(独立行政法人情報処理推進機構)などの専門機関が注意を促しています。Emotetの特徴は、自分が過去に送信したメールの文面が書かれているなど、「正規メールへの返信」を装う手口が使われることです。
また、標的型メールの中でも特に金銭的な被害をもたらすものをビジネスメール詐欺と呼ぶこともあります。2017年には日本航空が偽造の請求書に対して約3億8,000万円を振り込んでしまう事件が発生するなど、大きな被害が出ています。
機密情報の漏えいリスク
マルウェアに感染した場合やフィッシング詐欺に遭った場合以外にも、メールによる情報漏えいは単純な人的ミスによって起こる可能性があります。
例えば、送信先を間違ってしまい、全く関係のない相手に機密情報を含むメールを誤送信してしまうことが挙げられます。オートコンプリート機能を使うと先頭の文字と一致する候補が自動で表示されるため、本来の宛先とは別のメールアドレスに送信してしまいやすいのです。
1対1のメールであれば被害は少ないですが、中には大量のメールアドレス宛に一斉送信する同報メールで数万、数十万件と誤送信してしまう危険もあります。配信用の専用ソフトウェアを使わない場合、同報メールを送る際はBCC(Blind Carbon Copy)という機能を使い、送信先をほかの受信者に隠すのが一般的です。
本来BCCで送信すべきメールアドレスをTOで誤送信してしまい、大量のメールアドレスが漏えいしてしまう事件は数多く起きています。このような事件では、相手に迷惑をかけ、自社の信頼度低下にもつながります。
そもそも電子メールが危険な理由は、大きく分けて2つあります。1つ目は送信元を偽造できること、2つ目はメール内容を盗聴できることです。電子署名によって送信元の偽造(なりすまし)を防ぎ、メール内容を暗号化することで、リスクを軽減することが可能です。
電子メールで行うべきセキュリティ対策
これまで紹介したようなリスクを防ぐためには、具体的にどのような対策を行えばよいのでしょうか。ここでは電子メールを利用する上で行うべき対策について解説します。
怪しいメールや添付ファイルを開かない
もっとも基本的な対策は「怪しいメールは開かない」ことです。添付ファイルを開くだけでなく、メール自体を開いただけでもマルウェアに感染する場合があります。
怪しいメールとは、件名や送信元が疑わしいものです。日本語が不自然、中国語で使われる簡体字が混じっている、不審なメールアドレス、心当たりのない内容、個人情報を要求する、圧縮または自己解凍形式のファイルが添付されている、といった場合は注意しましょう。
標的型攻撃のように、送信元を偽装してマルウェア付きメールを送信する手口もあるので、常に「このメールは安全だろうか」という意識を持ち、複数の視点から注意深く真偽を確認することが必要です。
メールや添付ファイルは暗号化する
電子メールや添付ファイルを暗号化するセキュリティ対策も効果的です。現代で主に利用されている暗号化の種類は以下の3種類です。
- S/MIME暗号化
電子証明書を用いた暗号化方式で、メール自体を暗号化する。特になりすまし防止に利用される。
OutlookやGmailではS/MIME暗号化が採用されている。
- TLS/SSL
インターネット上で広く利用されている通信を暗号化する方式。
一度TLS/SSL暗号化を設定しておくことで、すべてのメールの暗号化が可能。
- パスワードを利用した添付ファイル暗号化
添付ファイルを電子メールで送付する際、添付ファイルにパスワードを設定し、添付ファイル付きのメール本文とパスワードを記載したメールの2通を送る方式。
※しかし、パスワードを利用した添付ファイル暗号化は、送信相手を間違えると2通とも誤った相手に送信されるため、セキュリティ対策としては不十分といわれています。
スパムメールをフィルターでブロックする
スパムメールは、メールボックスがいっぱいになり重要なメールを見逃すといった、単なる迷惑だけでなく、フィッシング詐欺やマルウェアの拡散など、さまざまなセキュリティ脅威を含んでいる場合があります。
そのため、スパムメールを効果的にフィルタリングし、ブロックすることは、電子メールセキュリティを確保する上で極めて重要です。多くの電子メールサービスにはスパムフィルターが標準装備されていますが、これらの設定を適切に調整し、必要に応じて追加のフィルタリングルールを設定することで、不要なメールの受信をさらに減らすことができます。
HTMLではなくテキストメールを利用
HTMLメールとは、Webサイトの記述言語であるHTMLを使用して作成したメールのことです。太字や文字色といった装飾をはじめ、背景画像をつけるなど、リッチな表現が可能です。さらに小さな画像(Webビーコン)を埋め込むことでメールの開封有無を確認できることから、メールマガジンなどでよく利用されています。
その一方で、HTMLメールはスクリプトと呼ばれるプログラムを記述できるため、マルウェアを埋め込みやすいというデメリットがあります。安全を考慮するのであれば、メールをテキスト形式に設定しておくと受信時にも安全な上、送信先の相手にも安心してもらいやすくなります。また、受信時にスクリプトの自動実行を無効にするのも効果的です。
メールセキュリティソフトの導入
メールセキュリティソフトを導入し、適切なセキュリティレベルを設定するとより安全性が高くなります。
メールセキュリティソフトとは、「メールに埋め込まれたマルウェアを感知して隔離する」「危険な添付ファイルを削除する」「悪意があるサイトへのURLを無効化する」「怪しいメールと判断した場合に警告を表示する」などの機能を持ったソフトウェアです。定期的に更新プログラム(セキュリティパッチ)を適用し、常に最新版の運用をすることが重要です。
また、多くの製品ではサンドボックスと呼ばれる、プログラムを仮想空間で実行する機能を持っているため、もしメールにマルウェアが含まれていても未然に防げます。
ウイルス対策ソフトの導入
ウイルス対策ソフトの導入は、電子メールによるマルウェアやウイルスの脅威から組織を保護するための1つの手段です。ウイルス対策ソフトを導入することで、リアルタイムでメールを監視し、添付ファイルやダウンロードされたファイルをスキャンして、疑わしい活動を即座に検出し、対処できます。
効果的なウイルス対策ソフトは、セキュリティの脅威に対して定期的なアップデートを行い、高い検出率を維持することで、システムを安全に保ってくれます。適切なウイルス対策ソフトを選択し、常に最新の状態に更新することが、電子メールセキュリティを確保する上で重要です。
定期的な社内セキュリティ教育の実施
定期的に社内勉強会や研修などを実施し、社員一人ひとりが正しいセキュリティ知識を持つように教育することも重要です。攻撃方法は常に進化していくため、社員のITリテラシーを向上することが何よりも大切でしょう。
どんなに強固なセキュリティ対策を行ったとしても、人的ミスによって危険にさらされる可能性は常にあります。逆に「必ずメール送信前には見落としがないかチェックする」「怪しいメールは開かない」といった簡単な対策を徹底するだけで、かなりの危険回避につながります。
社員への教育の一環として「標準型攻撃メール訓練サービス」を取り入れることもセキュリティ教育として有効です。例えば、標準型攻撃メール訓練サービスのtadrill(タドリル)には以下の2つの機能があります。
- tadrill training
標準型攻撃メール受信時のシミュレーションが行える - tadrill alert
情報システム担当者に報告する習慣の定着を促す
電子メールのセキュリティ対策に有効なツールの種類
ここからは、電子メールのセキュリティを強化するためのツールの種類について解説します。具体的には、クラウド型、ゲートウェイ型、エンドポイント型の3つの主要なツールに焦点を当て、それぞれの特徴とメリットを紹介します。
クラウド型
クラウド型のセキュリティツールは、クラウドサービスを利用して電子メールのセキュリティを管理します。このタイプのツールは、利用人数に応じた従量課金制を採用していることが多く、コストパフォーマンスに優れています。また、自社内にサーバを設置する必要がないため、初期投資を抑えつつ迅速に導入できるのが大きなメリットです。さらに、オプションによる機能拡張も可能であり、企業のニーズに合わせた柔軟なセキュリティ対策が実現できます。
例えば、HENNGEが提供するクラウド型のセキュリティ対策ツール「E-mail Security Edition」を導入すると、標準的なセキュリティ対策やメール誤送信対策が可能です。メールセキュリティツールに悩んでいる企業は、導入をご検討ください。
ゲートウェイ型
ゲートウェイ型は、自社のメールサーバの周辺に専用のセキュリティ機器を設置することで、メールトラフィックを管理・制御するタイプのツールです。この方法は、複数の保護対象を持つ企業や組織に特に適しており、端末の台数に関わらず柔軟に構成が可能です。ゲートウェイ型のセキュリティツールは、メールの送受信プロセス全体を包括的に保護することで、外部からの攻撃や内部からの情報漏えいを防ぎます。
エンドポイント型
エンドポイント型のセキュリティツールは、ユーザーが利用する各端末に直接インストールして使用します。このタイプのツールは、比較的低コストで導入でき、小規模な組織や個々のユーザーにも手軽にセキュリティ対策を提供できます。しかし、導入する端末の数が増えるほど、総コストは高くなる傾向にあります。それでも、エンドポイント型はユーザーごとのセキュリティニーズに細かく対応できる柔軟性を持っており、個別のリスク管理に有効です。
電子メールのセキュリティソフトを選ぶ際のポイント
電子メールはビジネスにとって欠かせないものであり、メールセキュリティは組織にとって非常に重要です。電子メールのセキュリティソフトを選ぶ際に押さえておくべきポイントを解説します。
十分なセキュリティ対策ができるか確認する
最も重要なポイントは、選択するセキュリティソフトが組織のセキュリティ対策のニーズに対して、十分な機能が備わっているかを確認することです。スパムメールのフィルタリング、フィッシング詐欺の検出、マルウェアからの保護、データ漏洩防止(DLP)機能など、幅広いセキュリティ対策の検討が必要です。また、ソフトウェアが定期的に更新され、新しい脅威に迅速に対応できるかどうかも重要な要素です。
社内システムと連携可能か確認する
メールセキュリティ対策ツールを導入しても、社内システムとの連携ができず、既存システムのセキュリティ対策にはならないとう事態では、導入しても意味がありません。
導入前に、自社のツールやシステムと連携可能かどうかを確認しましょう。
ユーザー数制限を確認する
セキュリティソフトを選ぶ際には、ライセンスモデルやユーザー数の制限にも注意を払う必要があります。組織の規模や将来の拡大計画に応じて、適切なユーザー数をサポートする製品を選択することが重要です。また、追加のユーザーライセンスを購入する際のコストやプロセスも事前に理解しておくことが望ましいです。
まとめ
電子メールにはさまざまなセキュリティリスクがありますが、正しい知識を持って適切な設定を行えば、事前に防げることがほとんどです。そのため電子メールをビジネスで利用する際は、忘れずにセキュリティ対策を行いましょう。さらに、もしマルウェアに感染した場合に拡大防止策をスムーズに実行できるよう、運用ルールを整備するなどの準備を行っておくことが重要です。
また、今回ご紹介したセキュリティリスクだけでなく、世の中には次々と新しい攻撃方法が生まれています。未知の危険に対応するためには、社員の根本的なITリテラシーを高めることも同時に行うとよいでしょう。
