Taiwan
Taiwan
ビジネスコミュニケーションの根幹を担う、電子メール。その利便性の高さとは裏腹に、サイバー攻撃者にとっては、企業ネットワークへ侵入するための最も効果的な「入口」の一つとなっています。
巧妙な文面で添付ファイルを開かせようとする「標的型攻撃メール」、経営者になりすまして送金を指示する「ビジネスメール詐欺(BEC)」など、メールを悪用した攻撃は後を絶ちません。たった一通のメールが、企業の存続を揺るがす重大なセキュリティインシデントの引き金になるのです。
この記事では、なぜ今メールセキュリティがこれほどまでに重要なのか、その背景にある最新の脅威を解説するとともに、企業が取るべき具体的な対策を網羅的にご紹介します。
ビジネスツールとして当たり前に使われているメールですが、その「当たり前」にこそ危険が潜んでいます。
電話やチャットツールが普及した現在でも、社外との正式なやり取りや、見積書・請求書といった重要書類の送受信には、依然としてメールが広く利用されています。攻撃者は、この「誰もが使い、疑いにくい」という特性を熟知しており、メールをサイバー攻撃の主要な侵入経路として執拗に狙ってくるのです。
かつての迷惑メールのように、不自然な日本語や明らかに怪しい件名であれば多くの人が警戒できます。しかし、近年の攻撃メールは、実際の取引先とのやり取りを装ったり、業務に関係する巧妙な件名をつけたりするなど、一見しただけでは見分けるのが極めて困難になっています。従業員の注意力だけに頼った対策ではもはや限界に来ています。
企業は具体的にどのような脅威にさらされているのでしょうか。
| 脅威の種類 | 手口の概要 | 主な被害 |
|---|---|---|
| フィッシング詐欺メール | 不特定多数に送信され、偽サイトへ誘導してIDやパスワードを盗み取る。 | アカウント乗っ取り、不正利用 |
| 標的型攻撃メール | 特定の組織を狙い、業務に関連する内容をより精巧に装って、機密情報を保持するビジネスツールのIDやパスワードを盗み取る。 | 機密情報の窃取、ランサムウェア感染 |
| マルウェア感染メール | フィッシング詐欺メール、標的型攻撃メールの一種で、マルウェアを仕込んだファイルの添付や、ダウンロードするように誘導するURLを本文に記載する。 | PCの乗っ取り、情報漏洩 |
| ビジネスメール詐欺(BEC) | 経営者や取引先になりすまし、偽の送金指示などをメールで行う。 | 不正送金による金銭的被害 |
特定の企業や組織を標的に定め、業務内容や担当者の名前などを事前調査した上で、極めて巧妙な文面で認証情報を盗んだり、マルウェア(Emotetなど)に感染させようとする攻撃です。取引先からの正規のメールへの返信を装う手口もあり、見分けるのは非常に困難です。
経営幹部や経理担当者、取引先になりすまし、「至急、この口座に送金してほしい」といった偽の指示をメールで送りつけ、金銭をだまし取る詐欺です。巧妙な心理的トリックを用いるため、多くの企業が実際に被害に遭っています。
悪意のあるソフトウェア(マルウェア)に感染させることを目的としたメールです。添付ファイルを開いたり、本文中のURLをクリックしたりすることで感染します。近年では、データを暗号化して身代金を要求する「ランサムウェア」の感染経路として多用されています。
銀行やECサイト、公的機関などを装った偽のメールから、本物そっくりの偽サイト(フィッシングサイト)へ誘導し、ログインIDやパスワード、クレジットカード情報などを入力させて盗み出す手口です。
これらの多様な脅威に対抗するためには、複数の対策を組み合わせた「多層防御」の考え方が不可欠です。
まず基本となるのが、そもそも危険なメールを従業員の受信トレイに届けないための「入口対策」です。スパムフィルタやアンチウイルス機能で、既知の脅威をブロックします。
従業員が意図せず、あるいは悪意を持って、社外に機密情報を含むメールを送信してしまうことを防ぐのが「出口対策」です。メールの宛先や本文、添付ファイルを自動的にチェックし、ルールに違反するメールの送信を一時保留・ブロックする仕組みが有効です。
どれほど優れたシステムを導入しても、最終的にメールを開くのは「人」です。不審なメールの見分け方や、インシデント発生時の報告ルールなど、全従業員のセキュリティリテラシーを高めるための継続的な教育が、最も重要な対策の一つです。
送信元ドメインが正規のものであることを証明する「送信ドメイン認証技術(SPF, DKIM, DMARC)」を導入することで、取引先などを装ったなりすましメールを受信側でブロックしやすくなります。
侵入してしまったマルウェアや不正プロセスを検知し、被害拡大を防ぐことです。そのためにはログの取得および常時監視が重要な対策です。
これらの対策を実現するための、具体的な技術やサービスをご紹介します。
メールサーバーの手前で、送られてくるメールを検査し、スパムメールや既知のウイルスが添付されたメールを検疫・ブロックする基本的なソリューションです。
受信したメールの添付ファイルやURLを、社内環境とは隔離された安全な仮想環境(サンドボックス)で一度実行し、その振る舞いを分析する技術です。未知のマルウェアであっても、その危険な挙動を検知してブロックすることができます。
従業員に、本物の攻撃メールそっくりの「訓練メール」を送信し、誰が開封してしまうかをテストするサービスです。従業員にリアルな脅威を体感させるとともに、組織のセキュリティ意識レベルを客観的に測定できます。
端末を保護するEDRや通信機器をも保護するXDRです。
マネージドサービスに加入することでIT部門の勤務時間外でも24時間セキュリティ対策が実現されます。
受信メールの添付ファイルを自動的に削除したり、HTMLメールをテキスト形式に変換したりすることで、メールに潜む潜在的なリスクを強制的に除去するソリューションです。
メールを送信する際に、「宛先は正しいか」「添付ファイルは間違いないか」などをポップアップで再確認させたり、送信を一定時間保留したりすることで、人的ミスによる情報漏洩を防ぎます。
送受信される全てのメールを、長期間にわたって完全に保存するシステムです。インシデント発生時の原因調査や、法的紛争の際の証拠保全に役立ちます。
AI技術の進化に伴い、メールセキュリティの世界も変化しています。AIを活用して、文脈からビジネスメール詐欺(BEC)の兆候を検知したり、各従業員のメール利用傾向を学習して、通常とは異なる異常な行動を検知したりする、より高度なソリューションが登場しています。
メールは、依然としてビジネスにおける最も重要なコミュニケーションツールの一つであり、同時に、サイバー攻撃の最大の標的でもあります。
単一の対策で全ての脅威を防ぐことは不可能です。入口対策、出口対策、早期検知と拡散防止対策、そして従業員教育といった複数の対策を組み合わせた「多層防御」のアプローチで、組織のメール環境の安全性を継続的に高めていくことが、企業の資産と信用を守る上で不可欠です。まずは、自社のメール環境にどのようなリスクが潜んでいるかを把握することから始めてみてはいかがでしょうか。
グローバル拠点のセキュリティ&ガバナンス強化
KDDIのコンサルタントへのご相談・お見積りはこちらから
あなたのお悩みに最適な解決策は?
KDDIのコンサルタントにご相談ください
