攻撃メールの実例を紹介 中堅・中小企業は効果的な対策を取れているのか：メールセキュリティの状況（2025年）／後編（2/2 ページ）

攻撃メールに対抗しようと企業はセキュリティソリューションを導入している。実際にはどの程度効果的なのだろうか。攻撃メールの文面と合わせて調査の結果を紹介する。

[キーマンズネット]

　巧妙さを増すメール攻撃を防御するには、メールセキュリティ製品の導入に加え、従業員に対するセキュリティ教育も有効だ。

　実際に従業員や経営層に対してメール攻撃への注意喚起や対策レクチャー、トレーニングを実施しているかどうかを聞いたところ「メールを用いた攻撃のリテラシー教育を実施している」（44.2％）、「メールを用いた攻撃の訓練を実施している」（39.0％）、「メールを用いた攻撃の啓発を実施している」（38.6％）と続き、「実施していない」（25.9％）は3割以下だった（図6）。ただし、100人以下の企業では「実施していない」が51.4％と過半数を占めており、ここでも中堅・中小企業におけるセキュリティ対策の遅れが見て取れる結果となった。

図6　従業員や経営層に対してメール攻撃に関するセキュリティ教育を実施しているか

　同様にセキュリティ体制の整備状況でも、100人以下の企業では「特に決めていない」（39.2％）と「全て従業員に任せている」（13.5％）で過半数を占めた（図7）。これではメールを介したサイバー攻撃に対抗するには心もとない。

図7　セキュリティ対策の社内体制

　企業サイズがもう1段階大きい101人〜500人の企業では「専門部署も専任担当者もおらず、情報システム担当者が兼任している」（52.9％）に回答が集まる結果となったが、中堅・中小企業でも兼務としてセキュリティ担当を任命、運用するまでの組織設計は最低限必要だろう。ちなみに5001人を超える大企業では約8割が「SOCサービスを利用している」や「CSIRTなどのセキュリティ対策専門の部署があり、部門長が統括している」「CSIRTなどのセキュリティ対策専門の部署に加え、役員がCISOの任に就いている」といった、専門の担当者や部門、外部サービスを活用した運用を実行していた。

251人に聞いた「私が実際にだまされたメール」の文面を公開！

　さて最後は、回答者が実際にだまされかけたメールのタイトルをフリーコメントで尋ねた結果を幾つか紹介しよう。このようなメールに対応できなければならない。

社内や関連会社からの連絡を装った攻撃例

【セキュリティ対策強化】多要素認証設定のお願い

忘年会の実施

給与明細

（当社名）健康保険組合からのお知らせ（訓練メールでの事例）

健康診断

（関連会社の）社内販売

メールアカウントが近日停止されます（自社のサポートセンターをかたったもの）

（社内で利用している）チャットシステムの未読通知

取引先からの連絡を装った攻撃例

見積書を確認していただけませんでしょうか

【先日の案件について　御回答ください】

懇親会のお知らせ

業務上の問い合わせ（なりすまし取引先メールアドレスから）

取引先からの請求書送信

実在名を悪用し個人を狙った攻撃例

ご利用地域の認証手続きのご案内

お支払い検証の異常検出による注文保留のお知らせ

ご注意：ご利用情報の認証が必須です

2025年4月請求金額のお知らせ

件名：メールボックス空き容量不足

　新たなメールを受信できなくなる可能性があります。添付マニュアルを確認いただき、メールボックスを調整してください

貴殿のインターネット・プロトコルの違法使用の疑いに関する正式な裁判所命令を同封いたします。貴殿は、この通信を受け取ってから24時間以内に返答するよう、ここに命じられます

メールボックスのストレージが制限に達しました。現在の受信トレイの使用量が上限に近づいています

メールボックスの正常な機能を維持するため、ストレージの最適化を行ってください（攻撃サイトへ誘導するボタン）

　以上、ここまで巧妙さの増すメール攻撃の実態と実被害例、企業におけるメールセキュリティ対策状況などを紹介した。悪意ある攻撃は常に手を変え品を変え襲ってくる。そのような中で企業はセキュリティ対策における予算や人員といった有限な資源をどこに充てるべきなのか。情報収集を重ねてトレンドを見極め、優先度の高い施策から優先的に対応していくことが肝要だ。