はじめての方はご登録ください(無料)会員登録
search

2019年2月26日(火)更新

メールセキュリティ

業務でも私生活でも使わない日はないほど普及した電子メール。毎日使うメールですが、セキュリティ対策を行わなかった場合、様々な危険に晒されることをご存知でしょうか。マルウェアの感染などは、メール1通で会社に甚大な被害を与えるリスクがあります。本記事ではメールセキュリティの必要性や対策方法を解説します。

メールセキュリティ に関するビジネス事例や製品の情報を受取る

メールセキュリティとは?

メールセキュリティとは、名前の通り電子メールにまつわるセキュリティのことです。セキュリティ対策を適切に行わなかった場合、様々なリスクにさらされる危険があります。

電子メールのセキュリティを脅かすパターンとしては、大きく4つに分類することができます。

盗聴

盗聴は、第三者にメールの中身を閲覧されることです。

企業の機密情報や個人情報を記載したメールを盗聴された場合は、それらを悪用されるリスクがあります。

なりすまし

なりすましは、信用ある企業等を装い、悪意あるユーザーがメールを送信することです。

最近では大手ECサイトや銀行の名を語り、IDやパスワードを盗んで不正利用するケースが発生しています。

改ざん

改ざんは、メールの内容を悪意ある第三者が書き換えることです。

例えば請求書のメールが届いた場合に、送り主は信用できる相手であっても、口座番号等の支払い先が書き換えられていた場合、金銭を搾取されてしまいます。

誤送信

これまで紹介してきたパターンは第三者によるリスクですが、送信者が犯してしまうリスクとして、誤送信が挙げられます。

個人情報などが入っているメールの送り先を間違えてしまった場合、情報漏洩を引き起こしてしまう可能性があります。

なぜメールセキュリティが必要?

メールセキュリティを脅かすパターンとして、「盗聴」「なりすまし」「改ざん」といったものがあることを説明しましたが、なぜメールセキュリティ対策を行う必要があるのでしょうか。

近年、メールによって行われるサイバー攻撃の件数は増加傾向にあり、被害は企業の規模を問わないものになっています。特に中小企業の場合、大企業と比較するとサイバーセキュリティが弱いと考えられているため、狙われるケースが多発しています。

金銭的な被害や情報の流出を避けるためにも、メールセキュリティ対策は早急に取りかからなくてはなりません。具体的な被害事例を基に、その必要性についてご説明します。

メールによるサイバー攻撃件数

警察庁の資料によると、平成30年の上半期にあった標的型メール攻撃(企業や組織を狙ったメール攻撃)の件数は2,578件であり、資料中ではもっとも件数の多かった平成29年下半期の次に件数が多かった期となりました。

標準型メール攻撃の件数は年々増加傾向にあり、資料中のもっとも古い記録である平成25年の下半期の291件と比較すると、今期は約10倍の件数まで増加していると言えます。

メールから始まるサイバー攻撃が増加している中で、会社の安全を守るためにメールセキュリティ対策は必要であると言えます。

【参考】警察庁:平成30年上半期におけるサイバー空間をめぐる脅威の情勢等について

具体的な被害事例

ここでは、具体的な被害事例を2社ご紹介します。

JALの事例

2017年12月に日本航空(JAL)がビジネスメール詐欺に遭い、およそ3億8000万円を騙し取られたという報道がありました。

この事件は、JALと取引先の間に第三者が割り込み、その第三者が取引先になりすまして不正に口座に金を振り込ませたというものです。先述した中では「なりすまし」のパターンに該当します。

【参考】讀賣新聞オンライン「JAL3.8億円詐欺被害 ビジネスメールに割り込み偽請求【サイバー護身術】」

京都薬品ヘルスケアの事例

サイバー攻撃の標的になるのは、大企業だけではありません。京都にある従業人10人の小さな会社も被害に遭遇しました。

健康食品販売会社である「京都薬品ヘルスケア」は平成26年10月8日~27年11月5日の間、ホームページからクレジットカードを使い商品を購入した顧客の氏名、住所やクレジットカード情報が流出する被害に遭いました。

サイトは閉鎖され、安全が確保されるまでは再開することができない状態に追い込まれてしまったのです。

【参考】産経WEST「狙われる中小企業、従業員10人なのに「標的」に…甘いセキュリティー突き大企業の機密情報も!?」

メールセキュリティの具体的なリスク

ここではサイバーセキュリティの観点から、起こりうる様々なリスクについて説明していきます。

【関連】サイバーセキュリティとは?その意味と企業に必要な対策/BizHint

①マルウェアの送付

まず挙げられるのが、マルウェアの送付です。

マルウェアとは

「マルウェア」とは「不正であり、有害な動作を起こすことを目的として作成されたプログラム」のことです。

「ウィルス」や「トロイの木馬」、「スパイウェア」など悪意あるコンピュータープログラムの総称がマルウェアです。

マルウェアの感染事例

メールによるマルウェアの感染事例として、以下の様な事例が確認されています。

  • メールの添付ファイルを保存することで侵入する
  • 添付ファイルを開かずとも、本文を開いたことによりマルウェアが侵入する

添付ファイルにマルウェアを忍ばせる場合、以前はプログラムファイルである「.exe」などを用いてマルウェアに感染させると言われていましたが、現在はWordやExcelのファイルを装って感染させるケースが多発しています。

また、添付ファイルを保存しなければ、マルウェアに感染しないとされていた時代もありましたが、攻撃パターンが進化し、添付ファイルを開かずとも感染させることが可能になっています。さらに自分のコンピューターがマルウェアに感染した場合、それを踏み台として使用され、自分がマルウェアの送信者となってしまうケースも発生しています。

このケースで自分のコンピューターから送信されたメールは送信記録を残さないため、自分がマルウェアを添付したメールを送信していることに気が付けないこともあります。

②危険なWebサイトへの誘導

メールに危険なサイトへのURLを記載しアクセスさせるケースもあります。

現在ダウンロードやファイルの保存などをせずとも、アクセスしただけでマルウェアに感染させられるケースも確認されているため、注意が必要です。

③フィッシングサイトへの誘導

「フィッシング」とは、インターネット上において、銀行の口座情報やクレジットカードの情報などの、金銭的な価値のある情報を盗み出す詐欺のことです。

フィッシングサイトとは金融機関やショッピングサイトになりすました、個人情報・パスワードなどを入力させるための、偽サイトのことです。

金融機関や警察を装ってフィッシングサイトに誘導し、情報を入力されることで金銭を盗み取られる被害が発生しました。

④ワンクリック詐欺

ワンクリック詐欺とは、メールにマルウェアや、URLを添付し、受信者がそれらをクリックした瞬間に何らかの架空の契約を結んでいるかのように思い込ませるメールを使った詐欺のことです。

ワンクリック詐欺によって不当な金銭の請求を迫られることや、個人情報を盗み取られることがあります。

⑤内部情報のスティール

会社内の人物や、重要な取引先を装い、会社の内部情報(社員名・組織体制・プロジェクト名・クライアント名等)を盗み出すケースがあります。これらの内部情報は、次の段階に備えられている大規模な攻撃に用いられます。

先述したJALの事例は、新たな飛行機の機体をリースするという情報が盗まれたことで詐欺の被害が発生しました。

⑥DDoS攻撃

DDoS攻撃とは、サーバーに対して過剰な負荷をかけることでサーバーダウンを指せる攻撃のことです。これは、負荷の高いメールを大量にメールサーバーに送り付けることで発生します。

会社のメールサーバーがダウンしてしまった場合、外部とのコミュニケーションがとりづらくなり業務に支障をきたします。

メールセキュリティの対策方法

では実際に、メールセキュリティのリスクから身を守るためにはどのようにすればよいのでしょうか。

セキュリティソフトの導入

まずは使用しているコンピューターに、ウィルス対策ソフト等のセキュリティソフトの導入することを推奨します。

セキュリティソフトをインストールしておくことにより、メールに添付されている悪意あるソフトウェアの実行をブロックしてくれたり、危険なサイトへのアクセスを未然に防ぐことができます。

スパムメール設定

「スパムメール」とは、広告などの情報を載せ、不特定多数に向けて送信される迷惑メールのことです。これらの迷惑メールは基本的には無視することで被害から回避できますが、記載されているURLにアクセスしてしまうと様々なリスクへと発展してしまいます。

また、メールの文中に「配信を停止する」などと記載されている場合もありますが、その文章をクリックしてしまうと、ダミーURLとして悪意あるサイトに誘導されてしまう場合もあります。

具体的な対策としては、特定のメールアドレスやドメイン名から受信したメールを、スパムメールフォルダに自動で振り分けるように設定する機能を使います。(フィルタリング)

これらはほとんどのメールサービスで設定可能です。また、学習機能が備わっているものも多いため、スパムメールへのフィルタリングを続けることで精度が向上します。

メールの暗号化

メールを暗号化することで、冒頭で説明した「盗聴」や「改ざん」、「なりすまし」のパターンからの被害を避けることができます。これらの暗号化は、基本的にメールサービスを提供しているプロバイダと契約した時点でメールを暗号化する機能も提供されています。

暗号化の方式はサービス提供会社によって異なりますので、ご自身で提供会社にご確認することをお勧めします。

尚、参考リンクにGmailの暗号化設定の確認方法を掲載しておりますのでご確認ください。一般的な暗号化の方法として、二つの方法があります。

【参考】Gmailヘルプ:送受信時のメールの暗号化

SSL/TSL暗号化

SSL/TSLは、メールサーバーに電子証明書を設定することで可能になる暗号化の方法です。「公開鍵」「秘密鍵」を生成し認証することで様々な被害からメールを守ります。一度設定しておけばすべてのメールの暗号化が可能です。

SSL認証は、例えるのであれば同じ鍵が二つある共用ロッカーに手紙を置くことで文通をしているような仕組みです。鍵は自分とメールの相手しか所有していないため、その二者間以外はメールを覗き見ることも、書き換えることもできません。

そのため、「盗聴」と「改ざん」を防ぐことができます。

しかしながら、“A株式会社”と名乗っている相手が、本当に“A株式会社”なのかを検証する仕組みは付いていません。そのため、“A株式会社”を名乗る全く別の組織とメールをやりとりしている可能性もあり、「なりすまし」を防ぐことができないというデメリットがあります。

【参考】GeoTrust:SSL/TLSの解説と選び方まとめ

S/MINE暗号化

S/MINE暗号化とは、電子メールに電子署名を紐づけることで「盗聴」「改ざん」がされていないことを証明し、「なりすまし」も防ぐ暗号化の方法です。

先の例に例えると、信頼できる機関が「このメールを送っているのは“A株式会社”である。」という保証書をメールにつけてくれているシステムになっています。信頼できる機関が身元を保障することで、「なりすまし」を防ぐことが可能です。

メールを送信するために細かい設定が必要になりますが、セキュリティ面ではSSL/TLSよりも強いものになっています。

【参考】GlobalSign:S/MIMEとは?メールへの電子署名と暗号化の仕組み

メール無害化サービス

メール無害化サービスとは、本文や添付ファイルを安全なものにするために、処理を行う専用のセキュリテイソフトウェアのことです。

無害化には大きく二つの方法があります。

添付ファイルや本文の無効化

添付ファイルの内容を機械が読み取り、本文に反映させることで無害化したり、テキストや添付ファイルをまるごと画像化することで無害化するサービスなどがあります。

攻撃プログラムの無効化

メールに攻撃するためのプログラムが添付されていた場合、それらを無効化することのできるツールもあります。本文中のURLが悪意あるものかを判別し、リンクを無効化したり、プログラムをしのばせることのできるHTML形式のメールを、しのばせることのできないテキスト形式に変換して無効化する方法があります。

ただし無効化のデメリットとして、オリジナルのメールと異なるものになってしまうことがあげられます。オリジナルのものはメールサーバーには残されるので、必要な場合は管理者を通して確認しなくてはなりません。

リテラシーの向上

様々なメールセキュリティサービスを紹介してきましたが、最も大切な対策方法は社員のリテラシーの向上です。

メールセキュリティを脅かすサイバー攻撃の方法は日々進化しています。攻撃者は次々と新たな攻撃方法を開発しているため、厳重にセキュリティサービスを導入して対策したとしても、そのセキュリティ網を破ってくることがあります。

そんな時、サービスに頼り切るのではなく、社員全員がメールセキュリティのリテラシーを高く保っていればセキュリティ網を破られたとしても被害を回避することができます。

具体的な方法としては

  • 知らないアドレスからのメールは開かない
  • 「なりすまし」のチェックのため、見たことのあるアドレスも一度確認してから開く (一文字だけ入れ替えたアドレスなどの場合があるため)
  • 添付ファイルなどは十分に注意する
  • セキュリティソフトのバージョンを最新の状態に保つ

などがあげられます。

これらの知識を社員に浸透させるために、定期的なコンプライアンスチェックやセキュリティ研修を行うこと推奨します。

まとめ

  • メールセキュリティが脅かされるパターンとして「盗聴」「なりすまし」「改ざん」「誤送信」という四つのパターンがあります。
  • メールによる攻撃は、企業規模を問わず年々増加傾向にあります。
  • メール1通から、マルウェアの感染・情報漏洩などを引き起こすリスクがあるため、セキュリティ対策が必要です。
  • セキュリティ対策の方法として、「セキュリティソフト導入」「スパムメール設定」「暗号化」「無害化」があります。
  • 最も大切な対策方法は社員のリテラシーを向上させることです。

注目のビジネス事例トピックを、逃さずチェック。

大手やベンチャー含め計150,000人以上の会員が利用しています。

BizHint の会員になるとできること

  • 事業運営のキーワードが把握できる
  • 課題解決の事例や資料が読める
  • 厳選されたニュースが毎日届く
  • アプリで効率的に情報収集できる
いますぐ無料会員登録

メールセキュリティの関連キーワードをフォロー

をクリックすると、キーワードをフォローすることができます。

キーワードフォローの使い方

ビジネス事例や製品の情報を受取る

フォローしたキーワードの最新トピックをトップページに表示します。 フォローはでいつでも変更することができます。
フォローを管理する

目次