メールは企業で日常的に使われるツールであり、サイバー攻撃などの標的になりやすいです。また外部からの攻撃以外でも、メールの誤送信で情報漏えいが起こるケースもあります。
ここではメールに関する脅威と対策について、分かりやすく解説をしています。
メールセキュリティとは
メールセキュリティとは、メールを使ったサイバー攻撃や望まない通信を防止するための対策です。
マルウェア感染やフィッシング詐欺だけでなく、メールの誤送信なども対策の対象に含まれます。
メールは企業において日常的に使われるツールです。だからこそサイバー攻撃にも利用されやすく、人為ミスも起こり得るので、強固なセキュリティ対策が必要です。
メールセキュリティにおける脅威やリスク
メールの利用には、以下のように様々な脅威やリスクがあります。
| 脅威・リスク | 具体的な被害例 | 主な対策 |
|---|---|---|
| マルウェア感染 | メールやSNSを介した感染拡大、 情報漏えい、金銭被害など | ・ウイルス対策ソフトの導入 ・メールの無害化 |
| Dos/DDoS攻撃などによる被害 | メールサーバーのダウン、 金銭被害など | ・IPアドレスの制限 ・WAFの導入 |
| メールの盗聴 | 情報漏えい、金銭被害など | ・メールや添付ファイルの暗号化 ・通信の暗号化 |
| アカウントの乗っ取り | 情報漏えい、金銭被害、 他サービスのアカウントの乗っ取り、 スパムメールの送信元になるなど | ・複雑なパスワードの設定 ・定期的なパスワード変更 ・ログイン時の二段階認証の設定 |
| フィッシング詐欺や なりすましメールによる被害 | 情報漏えい、マルウェア感染、 金銭被害など | ・メールのフィルター設定 ・メールの無害化 ・送信ドメインの認証 |
| スパムメールによる被害 | 情報漏えい、マルウェア感染、 金銭被害など | ・メールのフィルター設定 ・メールの無害化 |
| 人為ミスによる メールの誤送信 | 情報漏えいなど | ・送信メールの保留 ・上司承認機能の採用 |
被害で特に多いのは、情報漏えいです。企業の場合は社員の個人情報に加えて、顧客情報などの機密情報が漏えいするリスクも考えられます。こうした事態に陥れば、企業イメージの悪化は避けられません。
また情報漏えい以外にも、「ウイルス感染が原因で業務が停止する」「サイバー攻撃が原因で身代金を要求される」といった被害も起こり得ます。
マルウェア感染
マルウェアとは、コンピュータで不正に動作し、ユーザーなどに被害をもたらす「悪意のあるソフトウェアや悪質なコード」の総称です。コンピュータウイルスもマルウェアの一種に数えられます。
マルウェアに感染すれば、他のコンピュータに感染を拡大させたり、データの破壊や改ざんが行われたりします。また現在はデータを不正に暗号化し、身代金を要求するランサムウェアの被害も増えています。
メールはマルウェアの代表的な感染経路の一つです。中にはメールを開封しただけで感染するようなケースもあります。
なお、マルウェアについては以下の記事で詳しく解説しています。
【関連記事】マルウェアとは?種類や感染経路、症状、対策を分かりやすく
Dos/DDoS攻撃などによる被害
DoS攻撃やDDoS攻撃は、大量のデータを送りつけるなどしてサーバーの稼働を停止させるサイバー攻撃です。目的は嫌がらせから金銭要求まで様々ですが、サーバーが停止すれば、企業によっては莫大な損害を受けることになります。
DoS攻撃やDDoS攻撃の手法の一つに、大量のメールを送りつける「メールボム攻撃」があります。サーバーの停止に至らない場合も、メールの送受信に時間がかかったり、受信フォルダが満杯になって新しいメールを受信できなくなったりします。
DoS/DDoS攻撃については、以下の記事で詳しく解説しています。
【関連記事】DoS攻撃/DDoS攻撃の違いとその対策方法
メールの盗聴
メールはインターネットなどのネットワークを介してやり取りされますが、その通信経路上で悪意のある第三者が盗聴を狙っているケースもあります。本文に記載されたパスワードや添付ファイルで送った機密情報などが洩れる恐れもあり、充分に注意が必要です。
アカウントの乗っ取り
マルウェアの感染やパスワードの流出によるアカウントの乗っ取りもリスクの一つです。
マルウェアが原因なら更なる感染拡大が起こったり、自身のメールアドレスがスパムメールや後述のなりすましメールの送信元になったりする可能性があります。
パスワードの流出が原因で乗っ取られた場合は、類似のパスワードを利用しているSNSアカウントなども乗っ取り被害に遭う可能性があります。また、こちらのケースでもスパムメールやなりすましメールの発信元になることが考えられます。
フィッシング詐欺やなりすましメールによる被害
フィッシング詐欺やなりすましメールは、ともに情報の窃取やマルウェア感染を狙った攻撃です。実在する金融機関や有名企業、取引先などを装ってメールを送ってきたり、「至急対応が必要」などとユーザーの不安を煽ったりすることで、不正サイトへのアクセスや情報流出を促します。
フィッシング詐欺やなりすましメールについては、以下の記事で詳しく解説をしています。
【関連記事】なりすましメール対策!実例付きで見分け方や注意点をご紹介
スパムメールによる被害
スパムメールとは、いわゆる迷惑メールのことです。
最近は無料のメールソフトでもスパムメールの振り分け機能を有していますが、その精度は万全とは言えません。
ただ広告や宣伝をしてくるだけでも、メールの量が多ければ受信フォルダを圧迫します。またスパムメールの中にはフィッシングメールなどが混ざっていることもあり、情報漏えいに繋がるケースもあります。
人為ミスによるメールの誤送信
メールの誤送信による情報漏えいも、リスクの一つです。原因としては「送る相手を間違えた」「送るデータを間違えた」「Bccにし忘れた」といったミスが考えられます。
ただし現在はセキュリティ対策で人為ミスを予防することもできます。次の章で対策をご紹介していますので、参考にしてください。
「情報セキュリティ10大脅威」にもランクイン
メールにおける脅威の中には、独立行政法人情報推進機構(IPA)が発表する「情報セキュリティ10大脅威」に数えられるものも少なくありません。
| 順位 | 情報セキュリティの脅威2023(組織) |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | 標的型攻撃による機密情報の窃取 |
| 4位 | 内部不正による情報漏えい |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7位 | ビジネスメール詐欺による金銭被害 |
| 8位 | 脆弱性対策の公開に伴う悪用増加 |
| 9位 | 不注意による情報漏えい等の被害 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
1位のランサムウェアはマルウェアの一種であり、メールで感染する可能性があります。また3位の標的型攻撃には、なりすましメールなどが含まれます。さらに現在は、5位のようにテレワークによるセキュリティの欠陥を狙ったメールの盗聴やマルウェア感染も増えています。
この他にも7位のビジネスメール詐欺や9位の不注意による情報漏えいなど、実に10大脅威の半数がメールの脅威に該当します。
以下の記事ではテレワークにおけるセキュリティリスクを詳しく解説していますので、併せて参考にしてください。
【入門】VPN接続とは?仕組みやメリット、種類を分かりやすく解説
VPNは、第三者から見えない仮想の通信経路(ネットワーク)です。テレワーク時の通信安全性の確保や、遠隔地ネットワークの構築に使われます。企業はもちろん、個人でインターネットを利用する際にもメリットがあります。ここではVPNの仕組みや種類を初心者でも分かるように解説しています。 VPNとは VPNとはVirtual Private Networkの略で、日本語では「仮想専用ネットワーク」と呼ばれます…
メールのセキュリティ対策7選
メールには様々な脅威があるため、リスク低減のためには多くの対策が必要です。ここでは主な対策として、以下の7つをご紹介します。
- 対策①メールソフトのアップデートや再設定
- 対策②ウイルス対策ソフトなどの導入
- 対策③メールの無害化
- 対策④メールや添付ファイルの暗号化
- 対策⑤送信ドメイン認証
- 対策⑥メール誤送信の防止
- 対策⑦社員教育
対策①メールソフトのアップデートや再設定
メールソフトが古いままだと、脆弱性を突いてサイバー攻撃を仕掛けられる可能性があります。そのためソフトのアップデートは小まめに行うようにしましょう。
また各種メールソフトにはスパムメールのフィルター設定などがあり、こうした設定でもセキュリティレベルを高めることができます。
アップデートやフィルター設定はすぐにできる対策なので、速やかに実行しましょう。
対策②ウイルス対策ソフトなどの導入
メールからマルウェアに感染するケースは非常に多いです。マルウェアは種類が多く、個別に対応するのは容易ではありません。他のコンピュータへの二次被害を防ぐ上でも、ウイルス対策ソフトはぜひ導入しましょう。
またその他のサイバー攻撃を防ぐために、ファイアウォールやIDS/IPS、WAFなどを導入することも重要です。それぞれ防御対象が異なるので、複数の手法を併用することも考えましょう。詳しくは以下の記事で解説しています。
【関連記事】ファイアウォールとは?その仕組みと種類を紹介
対策③メールの無害化
メールの無害化とは、メールの本文や添付ファイルに仕掛けられたマルウェアなどを処理し、安全にメールを利用できるようにすることです。例えばHTMLメールをテキストメールに変換したり、メール本文に記載されたURLを削除したりします。また添付ファイルを自動で削除したり、形式変換したりもします。
メールが事前に無害化されていればマルウェア感染などのリスクを低減でき、メールを利用する社員の安心感にも繋がります。
対策④メールや添付ファイルの暗号化
送信時にメールや添付ファイルを暗号化すれば、盗聴や改ざんのリスクを低減できます。また暗号化してメールを送れば取引先も安心でき、万が一なりすましメールが送られても自社のメールと区別できるようになります。
代表的なメールの暗号化手段としては、「STARTTLS」があります。ただし、レンタルサーバー会社によってはSTARTTLSに対応していないこともありますので、心配な場合はマニュアルやサポートセンターで確認してみましょう。
以下の記事では、STARTTLSについて詳しく解説しています。
【関連記事】メールの暗号化で使われるSTARTTLSとは?仕組みと利用方法を解説します
対策⑤送信ドメイン認証
なりすましメールの対策に有効なのが、送信ドメイン認証です。送信したメールがなりすましメールと判断されないようにしたり、受信時になりすましメールを拒否したりするのに役立ちます。
特に規模の大きな企業はなりすましメールに利用されることが多いため、高度な送信ドメイン認証を採用するのがおすすめです。
送信ドメイン認証の種類などについては、以下の記事で詳しく解説しています。
【関連記事】DKIMとは?SPFとの違い、最新のDMARCも!なりすましメール対策の仕組みを解説
対策⑥メール誤送信の防止
メールの誤送信を防止する方法には、メールを一定時間送信トレイに留める方法や、上司など第三者によるチェックを経由するといった方法があります。
人為ミスを完全に防ぐことは困難ですが、誤送信防止機能を搭載したメールソフトやセキュリティ製品を活用し、誤送信を防止しましょう。
KAGOYAのメールプランでも、送信メール保留機能や上司承認機能などをセットにした有料オプションActive!gateをご利用いただけます。
【KAGOYAのメールプラン】共用プランなら最安月額440円から利用可能!
対策⑦社員教育
現在は人々のコミュニケーション手段の中心がスマートフォンでのやり取りになっており、「メールに関して充分な知識がない」という社員も少なくありません。
例えば「不審なURLをクリックしてはいけない」と知っていても、「メールを開くまではマルウェア感染の心配がない」と考えているケースがあります。
メールに潜むリスクを研修などで伝え、リスク管理に対する認識を深めることも、現在では重要な対策の一つです。
PPAPとは、ファイル共有の際に「パスワード付きZIP暗号化ファイルを送り、後から別のメールでパスワードを送る」という手法です。以下の手順の頭文字を取って、このように呼ばれています。
P:パスワード(Password)付きZIP暗号化ファイルを送信する
P:パスワード(Password)を送信する
A:暗号化(Angoka)する
P:プロトコル(Protocol)
以前は「万が一メールを盗聴されてもファイルが暗号化されていれば安全」という考えのもと、PPAPが政府機関や企業で使われていました。
しかし実際には暗号化ファイルとその後のパスワードを送信する経路が同一であり、ZIPファイルに関してはウイルスチェックもできません。
さらに一つの情報をやり取りするために2通のメールが必要で、現在は作業効率の面からもファイル共有の方法が見直されています。
【PPAPで考える】重要なファイルを安全に送付し共有する方法とは?
さまざまなコストと効果のバランスで、PPAPを見直す動きが広まっています。一人ひとりのユーザーが取り組む情報セキュリティ対策として広まりましたが、効果が低いと考えられるようになりました。ファイルを単に送付する手段としてではなく、ファイルを安全に「共有」する方法は他にもあります。情報セキュリティ対策を進める際、問題を正しく理解し、組織やユーザー自身でよく検討してから、自らの目的に合う対策への移行が現…
セキュリティ対策をまとめて実施するには?
ここまでご紹介した対策に一つずつ取り組もうと考えると、手間がかかります。短期間で社内のメールシステムの安全性を高めるには、セキュリティ製品の導入やサーバーの見直しを検討した方が良いでしょう。
方法①メールセキュリティ製品を導入する
現在は多くのメールセキュリティ製品が販売されています。導入方式や機能性、費用などそれぞれに条件が異なるので、以下の3点を踏まえた上で自社に合った製品を選びましょう。
- セキュリティ対策の種類と性能
- 他システムとの連携性や業務への適合性
- 導入後のサポート体制
方法②サポート重視ならサーバーの見直し
「ネットワークに詳しい担当者がいない」「自社にどのセキュリティ製品が合うか分からない」といった場合には、メールサーバーそのものの見直しがおすすめです。サポートの充実したメールサーバー業者を選び、セキュリティ対策を支援してもらいましょう。
サポートの手厚い業者であれば、システムの最適化に加えてトラブル対応も24時間365日体制で行っています。メールシステムに関する対策窓口を一本化できる点も安心です。
まとめ
メールは多くの企業において欠かせない機能であり、だからこそセキュリティ対策を徹底する必要があります。現在のメールシステムで見直すべき点はないか、よく検討しましょう。
「自社に必要な対策が分からない」などお悩みの場合は、ぜひKAGOYAにご相談ください。KAGOYAのメールプランは豊富なセキュリティ対策をご用意しており、障害対応も24時間365日体制で行っています。
KAGOYAのメール専用タイプではメールサーバー1台を専有できるだけではなく、今や事業用のメールには必須となっているSPF/DKIM/DMARCがすべてコンパネから簡単設定が可能。
さらにメールアドレス数は無制限で高い法人利用率をほこる高コスパなプランとなっています。
