電子メールのリスク対策2023
ビジネスの場面でもSNS・グループウェアのメッセージ機能等を連絡に利用することが増えましたが、まだまだ主流は電子メール。しかし、EMOTETをはじめとした電子メールを媒介としたサイバー攻撃は多発し、手口も巧妙化しています。 今回は、改めて電子メールを利用する際のセキュリティ対策についてまとめてみました。
●取引先になりすましたメールでの攻撃では、受信者の警戒心が薄れがち
電子メールを利用したサイバー攻撃によって、自社のメールアカウント情報が盗まれてしまい、取引先などへの攻撃に悪用されてしまう、という被害が起きています。
取引先へのなりすましメールでは、受信者側には表面上正規の取引先からのメールのように見えてしまうため(実際には全く関係ないメールアドレスから送信されているケースが多い)、悪意ある攻撃メールであるとは気付かずに、メールの添付ファイルを開封してしまったり、メール文中のリンク先にアクセスしてしまったりする可能性が高くなります。
EMOTET攻撃によって感染してしまうと、過去に実際にやりとりしていたメールの本文や送信先のメールアドレスなどの情報を盗み取られ、あたかも過去のメールのやりとりへの返信(続き)であるかのように見せかけた攻撃メールが送られてくることもあります。
特にテレワーク(在宅勤務)などで、すぐに相談・確認できる人が傍にいない場合などでは、実際の取引先になりすました、「添付ファイルをご確認ください。」「請求書です」などと記載されたメールが届いたら、あまり警戒することなく添付ファイルやリンクを開いてしまいやすくなります。
万が一添付ファイルなどにマルウエアが仕掛けられていた場合、今度は自身のメールアドレスが他者への攻撃に悪用されてしまったり、次々にマルウエアを仕掛けられて端末内やネットワーク内のデータなどを盗まれてしまったりする危険性があります。
取引先へのなりすましメール対策として、企業は次のような対策を実施しましょう。
- 迷惑メール対策機能付きのセキュリティソフトの導入、OSやアプリの定期的なアップデートなどの基本的なセキュリティ対策
- 社員への教育や情報共有(どういう点に注意するべきかなど)
- 自社に限らず、取引先や子会社などにも自社同等のセキュリティ対策の実施を呼びかける
受信者側ではメールソフトの表示を注意深く見て、表面上のメールアドレスと実際に送信に使用されたメールアドレスを確認する※、全てのメールについて安易に添付ファイルやリンクを開かない、といいうことを徹底するようにしましょう。
※
正規の送信者:株式会社〇〇〇 丸和太郎〈taro_maruwa@〇〇〇.co.jp〉
なりすましの場合:株式会社〇〇〇 丸和太郎〈atzk95642@gkrmsnt.com〉
〈 〉の中に記載されているメールアドレスが、実際にメールが送信されたアドレスです。送信者として表示されている人物や企業名と明らかに関係のない文字列や別の国のドメインになっているアドレスが表示されている場合は、なりすましの可能性が高いです。
●宅配業者や〇〇payからの確認・催促メールになりすましたメールによる攻撃の多発化
近年、宅配業者や〇〇payを騙るなりすましメールが増加しています。
宅配業者であれば不在通知、〇〇payであればアカウントの不正利用や支払催促通知であるかのように見せかけたメールを送り付けてくるケースが多いです。
いずれも、よく見れば宅配業者や〇〇payなどの「正規の通知メール用アドレス」とは異なるアドレスから送信されているので見分けることは可能ですが、早く対応しないといけないような内容で受信者が落ち着いて対応できないように仕掛けてきます。
宅配業者や〇〇payからのメールなども、近年は個人だけでなく、企業での利用も多く、また宅配業者等の場合、社内の誰かが発送したかも(または注文したかも)ということで、メールの受信者があまり警戒せずに添付ファイルを開いたり、送信元や問合せ先として記載されている連絡先に問い合わせてしまったりすることがあります。
そして、その結果、フィッシングサイトにアクセスしてしまいマルウエアに感染する、問合せた際に自社の情報を漏らしてしまう、などの被害が起きてしまいます。
業者へのなりすましメール対策は、先述の取引先へのなりすまし対策と同様ですが、加えて、次の対策も実施しましょう。
- 自社が利用する業者やサービスを特定し、社員に周知しておく(自社が利用していない業者やサービスからのメールは無視する)
- 自社が利用する業者やサービスの「正規の」URLとメールアドレスを確認し、社員に周知する(公式サイトのURLや公開されているアドレスを確認する)。
●To、CC、BCCの設定ミスによる誤送信、情報漏えいが多発しています。
なりすましによる被害以上に多発しているのが、メールの誤送信と本来BCCで送信しなければいけないメールを誤って全員にToで送ってしまったことによる情報漏えい事故です。
殆どの場合が「うっかりミス」であり、対策として「上司による2重チェック」としているところもありますが、実際に2重チェックをすることはなかなか難しいということもあるようです。人的な対策が難しい場合は、複数メールアドレスに送信する際に自動的にBCCに設定してくれる機能を有するメールセキュリティサービスなども検討してみましょう。
●暗号化zipファイルの添付も最近は避けられがちです。
メールでの情報漏えい対策として、添付ファイルを暗号化したzip圧縮ファイルで送り、別メールで解凍パスワードを送信する、という手法が日本では古くから定着しています。
しかし、zip圧縮ファイルはセキュリティソフトの検知を通り抜けてしまう可能性があること、および、解凍パスワードを別のメールで送ったところで、同じ通信経路を辿る以上通信傍受リスクの回避にはならないこと、さらに、殆どの場合、ファイル添付メールと解凍パスワード用メールを同時に作成しているため、送り先を間違えていても、そのまま解凍パスワードも間違った相手に送信してしまう可能性が高いことから、手順の見直しが進められています。
例えば、クラウド上にファイルをアップロードして、ダウンロード用のURLやパスワードのみを相手に送信する、クラウドへのアクセスはメールアドレスによる認証や期間限定設定などにより制限する、というような手順への変更を検討しましょう。
メールは便利なツールですが、リスクも高いツールです。リスクを理解し、適切に利用するようにしましょう。