セキュリティの基本はメールから、従業員と会社を守る「10の手法」とは

フィッシングメールやビジネスメール詐欺による被害はIPAが発表する「情報セキュリティ10大脅威 2022」の上位に位置付けられている。メールを起点とするサイバー攻撃は数多い。従業員と会社を守るには、まずメールセキュリティを固める必要があるだろう。どのような手法があるのだろうか。

[畑陽一郎，キーマンズネット]

　テレワークの普及に伴い、サイバー犯罪が急増している。電子メールセキュリティ製品を手掛けるAbnormalによれば、BEC（Business Email Compromise）攻撃は2021年比で150％増となっており、企業にとって不利な状況になっている。しかし、警戒を怠らず、知識を身に付けることで、会社を守りBEC攻撃を回避できる。

　企業の電子メールアカウントが直面する主な危険と、これに対抗する電子メールセキュリティとはどのようなものだろうか。

メールセキュリティの脅威の第一位は「フィッシング」

　フィッシングとはデジタル詐欺の一種で、特に電子メールを経由することが多い。ソーシャルエンジニアリングの一種であり、攻撃者が企業の従業員をだまして、信頼できる送信元からのメールだと信じ込ませようとする。

　フィッシングメールには通常、何らかのCTA（Call to Action：行動喚起）が記載されており、いわばマーケティングの一形態とみなすこともできる。ただし、フィッシングのCTAは通常のマーケティングではなく、悪質なリンクをクリックさせたり、会社の機密データを部外者に公開させたりするものだ。

　攻撃者は一般のマーケッターと同様に、詐欺の「コンバージョンレート」（攻撃の成功率）を高めるためにクリエイティブなテクニックを使う。念入りに詐欺であることを隠したメールであればあるほど、コンバージョンレートは高くなる。そのため、フィッシングメールを受け取った際、見破ることが難しくなる。フィッシングメールの例としては、次のようなものがある。

・アカウント認証詐欺
　次のようなフィッシングメールを攻撃に用いる。「最近のセキュリティ脅威のため、以下のリンクからサインインしてアカウントを確認するようお願いいたします。確認しなかった場合、お客さまのアカウントは永久に無効になります」

・偽の請求書詐欺
　攻撃者は「私たちのサービスに対する支払いをまだ受け取っていない」というメールを送ることがある。「以下のリンクから決済を完了してください」とあった場合、クリックしてはならない。

・スピアフィッシング
　より高度でカスタマイズされたフィッシングであり、実行前に対象の会社について攻撃者がある程度調査を進めておく必要がある。例えば、従業員が同僚や上司から来たように見えるメールを受け取り、指定されたWebサイトを閲覧したり、情報を開示したりするような指示がある。

メールセキュリティ向上のための10の推奨事項とは

　フィッシング詐欺に引っかかると、企業は情報漏えいやマルウェアにさらされる可能性がある。次に示す10個のメールセキュリティのベストプラクティスは、フィッシングやその他の形態のサイバー犯罪からビジネスを守るために役立つ。

（1）フィッシングについて意識向上トレーニングを実施する

　電子メールを用いた攻撃は通常、従業員の過失や知識不足を突く。電子メールのサイバーセキュリティを向上させるには、最初に主な脅威となっているフィッシングに対する認識を高めなければならない。

　経営層と全ての従業員がフィッシング詐欺を認識し、回避するための詳細なトレーニングを受ける必要がある。ここで取り上げるべき主なポイントは次の通りだ。

・主なフィッシング詐欺の手口を知る
・通常とは異なる要求に対して不審に思うこと
・電子メールで受け取ったランダムなリンクは決してクリックしないこと

　このような注意事項を徹底させることで、フィッシングメールにおける企業のリスクは大幅に減少する。

（2）メールの添付ファイルやリンク先への対処方法を教育する

　電子メールの添付ファイルや不審なリンクは、サイバー犯罪者が悪意のあるソフトウェアを拡散させるために最もよく使う方法だ。

　従業員には、このような巧妙な手口をよく理解させ、実際の状況下で見抜く訓練を受けさせるようにする。時間をかけて何度も練習すれば、不審なメールリンクや添付ファイルを見分ける感覚が養われ、潜在的な攻撃経路を大幅に減らし、セキュリティ体制全体を大幅に改善できるはずだ。

（3）多要素認証を導入する

　スマートフォンを用いた多要素認証をメールサービスで有効にすると、攻撃者からメールアカウントをより安全に保護できる。

　メールアカウントのパスワードが流出しても、ユーザーがひも付けたスマートフォンなどのデバイスにアクセスできなければよいのだ。メールアカウントに限らず、重要なビジネスアカウントは全て多要素認証を有効にしておくとよい。

（4）公衆無線LANでのメール利用を控える

　公衆無線LAN（Wi-Fi）は、電子メールのセキュリティに大きなリスクをもたらす。ホテルや空港、店舗では無線通信経路が暗号化されていない場合が少なくない。こうなると誰でも同じネットワークに接続できる。

　もしも攻撃者が暗号化されていない公衆無線LANへの接続を傍受し、被害者がメールにログインしているところを見つけたら、メールのパスワードをすぐに盗まれてしまう。公衆無線LANを使わないことが一番だが、どうしても接続しなければならない場合は、絶対に重要なデータを送信しないようにする。

（5）ビジネスメールを私用に使ったり、その逆をしたりしない

　ほとんどの従業員は専用のメールアドレスを受け取っている。誘惑に負けて、全てのサインインに仕事用のメールアドレスを使用してしまう従業員もいる。

　「新しいストリーミングサービスにサインアップする必要があるなら、新しい仕事用のメールアドレスを使えばよいじゃないですか。どうせみんなそうしているんでしょう」という具合だ。

　最初は良いアイデアだと思えるかもしれない。しかし、仕事用のメールをプライベートな目的で使用したり、逆にプライベートなメールを仕事用のメールサービスでやりとりしたりすると、個人としても会社としても、セキュリティ上の重大な問題を引き起こす可能性がある。

　個人的なオンライン活動に会社の電子メールを使用すると、より簡単にプロファイリングされてしまう。その結果、「スピアフィッシング」と呼ばれる標的型フィッシングキャンペーンや、その他の標的型サイバー攻撃を受ける可能性が高まる。

（6）会社の電子メールを暗号化する

　特別なメールセキュリティソフトウェアを使用して会社の電子メールを暗号化することは、攻撃者を遠ざける良い方法だ。

　暗号化することで、送信者と受信者のみがメールを見られるようになる。従業員のWi-Fi接続やメールアカウントを傍受しても、攻撃者は機密データを発見できなくなる。

（7）メールセキュリティプロトコルを設定する

　電子メールセキュリティプロトコルは、デジタルコミュニケーションにセキュリティのレイヤーを追加するため、非常に重要だ。

　プロトコルはインターネットのWebメールサービスを通過する際に、通信の安全性を確保するよう設計されている。メールセキュリティプロトコルの助けがなければ、悪質な業者は比較的簡単に通信を傍受できる。さまざまな電子メールセキュリティプロトコルを理解し、安全な通信を確保するためにそれらを自社で有効にすべきだ。

（8）エンドポイントセキュリティを強化する

　セキュリティ体制をより強固なものにするために、エンドポイントセキュリティを向上させる。エンドポイントセキュリティを強化する最も簡単で効果的な方法は、多くの場合、全社的に使用するセキュリティツールを導入することだ。

　各社が提供しているVPNは、インターネット接続とビジネスネットワークで転送されるデータを暗号化するツールであり、導入を検討する価値がある。アンチウイルスソフトウェアも、プロアクティブな防御を行うために、全てのビジネスPCで使用する必要があるツールだ。

（9）パスワードを頻繁に変更しない

　「パスワード疲れ」はもはや日常茶飯事だ。現在、平均的なユーザーは約100個のパスワードを持っているといわれている。全てのパスワードを管理するのは大変なことだ。

　パスワードのセキュリティに関する従来の常識では、パスワードを90日ごとに変更することが望ましいとされている。これは合理的なセキュリティ対策のように聞こえるかもしれないが、そうではない。面倒を避けるため、より単純で簡単に解読できるパスワードを従業員が使うようになる可能性があるからだ。

　従業員がパスワードの「衛生管理」（ハイジーン）に対して真剣に取り組んでおり、さらに推測しにくいパスワードを利用していたとしよう。これまで従業員のパスワードが漏れたことがないなら、すでに使用しているパスワードをそのまま使い続けるべきだ。加えて、どんなに強力なパスワードでも、漏えいしたり、破られたりした場合は、直ちに変更する必要がある。

（10）メールアカウントには強力なパスワードを使用する

　強力なパスワードはアカウントの安全性を確保するための重要な要素だ。しかし、企業はしばしば強力なパスワードで電子メールを保護することに失敗している。このような場合、パスワードが簡単であればあるほど、ブルートフォース攻撃によって破られてしまうことを知っておく必要がある。ブルートフォース攻撃とは、攻撃者が何千回もの試行錯誤を自動で繰り返し、パスワードを推測しようとすることだ。

　このような攻撃からビジネスメールを保護するために、組織内の全員がパスワードを保護しなければならない。安全な電子メールのパスワードの特徴は4つある。

・長い
・複雑
・異なる種類の文字が含まれている
・一意（他のアカウントで使っているものを再利用しないこと）

　これらはビジネスの安全性を確保する上で非常に重要なポイントだ。しかし、攻撃されにくいパスワードは、覚えることも難しい。誰もが望むことは、自分のアカウントを強固に保護しつつ、覚えなくてもアクセスできるようにすることだ。

　各社が製品化しているビジネス向けのパスワードマネジャーは、このような事態の解決に役立つ。会社のメンバー全員が自分のアカウントにこれを使えば、メールは安全になり、パスワードを思い出そうと頭をかきむしる必要もなくなる。

最後に覚えておきたいこと

　電子メールの安全性は、決して高いものではない。「Gmail」や「Outlook」のようなプラットフォームがユーザーの安全を確保するために最善を尽くしていても、積極的にユーザーがメールアカウントを保護しなければ、簡単に攻撃者の犠牲になってしまう。

　今回紹介した10個のベストプラクティスに従うことで、攻撃者はより弱い獲物へと攻撃対象を変えていく可能性が高い。これによって、対策を講じたビジネスメールが破られる可能性はかなり低くなるだろう。