Exchange Onlineはビジネスコミュニケーションツールとして広く利用されていますが、大きなセキュリティリスクを含んでいることはあまり知られていません。セキュリティインシデントに見舞われないためにも、適切なセキュリティ対策が求められます。本記事では、Exchange Onlineで行うべき基本的なセキュリティ設定について詳しく解説します。
[RELATED_POSTS]Exchange Onlineのセキュリティリスクとは
Exchange Online(Microsoft Outlook)は、WordやExcelと共に「Microsoft 365(旧Office 365)」に含まれていることもあり、多くのユーザーがメールクライアントとして利用しています。電子メールはもちろん、予定表や連絡先管理、仕事管理やメモなど、豊富な機能を付属したアプリケーションです。Exchange Onlineはビジネスの現場でも定着していますが、Exchange Onlineの脆弱性を悪用した攻撃が頻発していることは事実です。メールを悪用した攻撃に関しては、見覚えのない送信者からのメールは開封しないことが定石ですが、近年ではメールを開いてもいないのに、マルウェアに感染するという恐ろしい事例も確認されています。Exchange Onlineは優れたメールクライアントですが、セキュリティ対策を怠るとセキュリティ事故を引き起こす要因となる可能性があります。
Exchange Onlineの基本的なセキュリティ対策
Exchange Onlineは豊富な機能を備えたメールクライアントですが、便利さとリスクは常に隣り合わせであることを忘れてはいけません。ただし、適切なセキュリティ対策を実装することで、サイバー攻撃に対するリスクを軽減できます。ここでは、Exchange Onlineの基本的なセキュリティ設定について紹介します。
添付ファイルのセキュリティレベルを引き上げる
Exchange Onlineには、安全性の低い添付ファイルを自動的にブロックする機能があります。そして、設定はレベル1とレベル2の2段階です。レベル1は、".bat"や".js"、".vb"など、サイバー犯罪者が頻繁に悪用するファイル拡張子を持つ添付ファイルをブロックします。レベル2では、ブロックしたい添付ファイルの拡張子を管理者が任意で追加できます。
設定方法はレジストリから追加する方法と、グループポリシーから追加する方法があります。レジストリから追加する場合は「スタート」→「ファイル名を指定して実行」→「Regedit」と入力して、レジストリエディタを起動します。次に対応するサブキーを入力したら「\Outlook\Security」を開きます。次に「新規」→「文字列値」と進み、値を「Level1Remove」とします。「値」に追加したい拡張子を入力したら完了です。
グループポリシーから追加する場合は、Outlookの管理用テンプレートを追加し、グループポリシーで「ユーザーの構成」→「管理用テンプレート」→「Microsoft Outlook」→「セキュリティ」→「セキュリティフォーム設定」→「添付ファイルセキュリティ」をクリック。「レベル2としてブロックするファイル拡張子を追加する」を有効にして、ボックス内に拡張子を入力します。
HTMLではなくテキスト形式で利用する
HTML形式で作成されるHTMLメールは、本文にスクリプトを埋め込むことができるので、マルウェアを含むスクリプトが実行されてしまう危険があります。そのようなHTMLメールを開いた途端にスクリプトが実行され、PCがマルウェアに感染します。このようなリスクを回避するためには、HTMLではなくテキスト形式で表示するように設定を変更することが最善です。
テキスト形式に変更する設定は、まずOutlookの「ファイル」から「オプション」をクリック。次に「電子メールのセキュリティ」をクリックし、「すべての標準メールをテキスト形式で表示する」と「すべてのデジタル署名されたメールをテキスト形式で表示する」にチェックを入れましょう。こうすることでHTMLメールを受信しても、より安全なテキスト形式で開けるようになります。
セキュリティ更新プログラムのインストール
MicrosoftはExchange Onlineに存在する脆弱性を解消するために、「セキュリティ更新プログラム」を提供しています。更新プログラムが提供されたらすぐにインストールして、脆弱性に対処することで、Outlookのセキュリティを強化できます。
Outlookに関してはこれまでも、OLE(Object Linking and Embedding)に存在する脆弱性やリモートからコードが実行される脆弱性など、さまざまな脆弱性の存在が指摘されてきました。
脆弱性を悪用した攻撃を避けるためにも、Microsoft UpdateでWindows の自動更新をオンにしておきましょう。
送信先のオートコンプリートリスト利用停止する
Outlookのオートコンプリートは、 宛先・CC・BCC のフィールドに入力を開始すると、過去の入力履歴から候補を表示してくれる便利な機能です。しかし、表示されたメールアドレスをきちんと確認せず、誤送信してしまうケースも少なくありません。
確認漏れによる誤送信という人為的なミスで、無関係な送信先に企業の重要情報を漏えいしてしまう危険があります。オートコンプリートの確認ミスによる情報漏えいを防ぐために、オートコンプリートを無効にすることをおすすめします。設定方法は、「ファイル」から「オプション」に進み、「メール」をクリック。「[宛先]、[CC]、[BCC]に入力するときにオートコンプリートを使用して名前の候補を表示する」のチェックを外します。
まとめ
Exchange Onlineは優れたメールクライアントであり、利用者も多いため、攻撃者に狙われやすいアプリケーションです。万が一、Exchange Onlineを狙った攻撃を受けてしまうと、顧客情報や社員の個人情報など、機密情報が漏えいするというリスクが生じます。
このため、「HENNGE One」など、Microsoft 365(旧Office 365)やGoogle Workspaceなどのクラウドサービスを安全に利用するためのソリューションも登場しています。企業のリソースを保護するためにも、このようなセキュリティサービスの活用を検討してもよいでしょう。
