「迷惑メール」「PPAP」「Emotet」 メールの基本ができていない企業：メールセキュリティの状況（2023年）／前編

企業におけるコミュニケーション手段として重要な「メール」は、情報漏えいやサイバー攻撃の入り口でもある。メールを守るための基本はどの程度浸透しているのだろうか。

[キーマンズネット]

　メールは企業におけるコミュニケーション手段としてますます拡大している。The Radicati Groupの調査レポート「Email Statistics Report, 2020-2024」によると、世界で1日に送受信される電子メールの総数は年平均で4％以上増加しており、2024年末には3610億通にまで達するという。全世界の電子メール利用者数は44億人以上になり、世界人口の半分以上が使用するという予測だ。

　電子メールはこれからも重要なコミュニケーションツールの地位にとどまる一方で、利用頻度が増すことで情報漏えいリスクは高まり、管理の必要性が増すだろう。そこでキーマンズネットは「メールセキュリティに関するアンケート」と題して調査を実施した（実施期間：2023年4月7日〜4月21日、回答件数：230件）。前編となる本稿では、企業で利用されるメールについて、情報漏えい対策の現状を紹介する。

無意味な迷惑メール対策に疑問の声

　企業に対して日々送り付けられる大量の迷惑メールの中には、業務妨害はもちろんウイルス感染の危険も多分にあり、見過ごすことのできないセキュリティリスクがある。

　迷惑メール対策推進協議会が発行する「迷惑メール白書2021」によると、日本では2001年ごろから迷惑メールが社会問題化し、2012年には国内のISP（インターネットサービスプロバイダー）が取り扱う国内着の電子メールのうち迷惑メールの占める割合は約70％と高い水準にまで達した。しかし2021年には40〜50％にまで減少し、加えて電気通信事業者のフィルター対策が向上したこともあって利用者に到達する数も減少傾向にあるようだ。それでもなお、迷惑メールによる被害は後を絶たない現状を鑑みると、引き続き対策が重要なことは明白だ。

　そこでまず、迷惑メール対策ソリューションの導入状況を調査したところ「導入済み」（63.5％）と「導入予定」（5.7％）を合わせ、約7割の企業で対策されていることが分かった（図1）。

図1　迷惑メール対策ソリューションの導入状況

　従業員規模別に見ると、危機意識はそれぞれで異なる。

　1001人以上の大企業では75.7％が導入済みだったのに対して、100人以下の中小企業では41.4％と実に1.8倍もの差が開いた。ただし中小企業でも「導入予定」を合わせると過半数が導入意向であり、企業規模を問わず優先順位の高い課題とみなされている現状が見て取れた。

　迷惑メール対応ソリューションを「導入済み」とした回答者に対してソリューションの満足度を尋ねたところ「満足している」（28.1％）、「どちらかといえば満足している」（40.4％）を合わせると68.5％が「満足」と回答した。「不満」は5.5％と1割にも満たなかった（図2）。

　寄せられた不満には「振り分けルールが無能で極めて不評で、重要連絡まで迷惑扱いされることが多く支障多発」や「なりすましに弱く、迷惑メールがすり抜けやすい」などがあった。

図2　迷惑メール対策ソリューションの満足度

3社に1社が「脱PPAP」を実現　「不満」はあったのか

　メールを介した漏えいリスクとしてもう一つ、昨今注目されているのは「PPAP」と呼ばれる送付形式だ。パスワード付きZIPファイルをメールに添付して送付し、別メールでパスワードを送付する手法で、身に覚えのある方も多いのではないだろうか。

　これまで多くの企業がメール送信における「お作法」として採用してきたが、メールを2通に分けたとしても同じ経路で送信するためパスワード漏えいの懸念は拭えない。そこで、2020年11月には内閣府が、2022年1月には文部科学省が「不採用」を公表した。北海道庁など地方自治体などでも脱PPAPが始まっており、取り止める企業も増えている。

　そこでPPAPへの「禁止対応」を調査したところ、全体では34.8％と約3社に1社が対応済みであった。ただし内訳をみると「PPAPは禁止されているが、個人の努力にまかされている」（18.7％）が「PPAPは禁止されており、メールシステム上も利用できない」（16.1％）を上回っており、システムでの対応ができている企業は多くはないのが現状だ（図3）。

図3　PPAP対応状況

　「脱PPAP」を実践している企業の満足状況はどうだろうか。満足度合いを質問したところ「どちらでもない」（50.0％）が多数となり、「満足している」（23.8％）や「どちらかと言えば満足している」（21.3％）だった。「どちらかと言えば不満だ」（3.8％）や「不満だ」（1.3％）を合わせると、不満を感じているのは約5％だと分かった（図4）。

図4　PPAPが利用できないことへの満足度

　PPAPでは暗号化やメール分割をする送信者の手間はもちろん、受信者側にも復号の手間が発生する。業務効率面でも問題視されてきた過去がある。そのため「脱PPAP」による現場でのデメリット感もあまりないようだ。

　「不満」とした回答者から上がった声を見ると、「あまり頻繁ではないが、ファイルのやりとりが発生する場合は対応に苦慮している」や「階層構造のあるファイルを送れない」などがあった。

Emotet対策　3位「マルウェア検知」2位「注意喚起」……1位は？

　迷惑メールやPPAP以上に注視すべきなのは、活動の休止と再開を繰り返しながら、広範囲に渡って甚大な被害を与えてきたマルウェア「Emotet」（エモテット）の動向だろう。直近では2023年3月に活動再開が確認されており、今後また猛威をふるう可能性もある。

　そこで現在、企業でどのようなEmotet対策がなされているかを調査したところ、全体では84.8％が何らかの対策を施していた。具体策では「エンドポイントでのマルウェア対策」（59.6％）、「組織内への注意喚起」（54.8％）、「メールセキュリティ製品によるマルウェア付きメールの検知」（38.7％）など挙げられた（図5）。

図5　「Emotet」対策の実施状況

　Emotetの攻撃では巧妙な詐称メールを使い、利用者のマルウェア感染を誘引する。感染した利用者が今度は情報詐取や他のマルウェアを侵入させる「媒介者」となって被害を拡大していく点が特徴だ。このような点に着目してエンドポイント対策や従業員啓発を行うケースが多いようだ。一方、全体では「特に何もしていない」（15.2％）も2割弱存在し、特に割合の高い傾向にあった中小企業を中心に早期の対策を推奨したい。

　以上、迷惑メールからPPAP、Emotetまで、企業で利用されるメールにおける情報漏えい対策の現状を紹介した。後編でも引き続き、メールを介した標的型攻撃の現状と対策について調査結果を報告する。