メールセキュリティ対策って何?ビジネスメール詐欺事例【企業・団体必見】
(※この記事は、2023年6月21日に更新されました。)
「サイバー攻撃やマルウェアから身を守るためのセキュリティ対策について知りたい」
「セキュリティ対策は具体的に何をすればいい?」
「ビジネスメール詐欺にはどのようなものがあるの?」
上記のような疑問をお持ちの方に向けてこの記事は書かれています!
本記事では、メールセキュリティ対策とは、ビジネスメール詐欺の種類と対策についてご紹介いたします。
トランザクションメールの配信に強みを持つメール配信ソフトです。ダッシュボードからメールの配信状況を確認・エラーメールへの迅速な対応が可能 🔧
メールセキュリティ対策が必要な理由は?
メールを利用した悪意のある第三者からの攻撃は年々巧妙になっています。
特に、顧客の個人情報や、経営に関わる機密情報を取り扱っている企業メールは攻撃の対象になりやすい傾向があります。
充分なメールセキュリティ対策を行わず、ウィルスに感染してしまった場合、同一ネットワーク内にある企業全体のコンピューターに影響が及びます。
コンピューターが乗っ取られてしまった場合、機密情報の漏洩や個人情報の流出の恐れがあり、さらに基幹システムが攻撃されると業務が停止してしまいます。
また、内部要因としてメールの誤送信による情報漏洩も企業の信頼性を脅かすリスクとなります。
独立行政法人 情報処理推進機構(IPA)が公開している「情報セキュリティ10大脅威 2023」では、「ランサムウェアによる被害」
「標的型攻撃による機密情報の窃取」
「内部不正による情報漏えい」
が脅威の上位として挙げられています。
こういった背景からも、企業におけるメールのセキュリティ対策の必要性が高まってきているといえます。
ビジネスメール詐欺の事例3選
ここでは、企業が被害に遭ってしまったビジネスメール詐欺の事例を3つご紹介いたします。
ビジネスメール詐欺には、特定の個人や団体を狙った標準型攻撃や取引先や顧客を装ってメールが送られてくるフィッシングメールなどがあります。
1. 取引先企業を装った偽の口座変更メール
日本国内の輸入業者(A社)は中国の取引先企業(B社)とメールを介して連絡していたところ、攻撃者がB社を装って偽の銀行口座情報を変更したいとの依頼メールを送信しました。
A社は、過去にもB社から銀行口座情報の変更の依頼を受けたことが合ったため、今回送られてきた依頼も本物であると思い込み、攻撃者の銀行口座へ送金を行なってしまいました。
その後、資金の回収を行うことはできなかったようです。
2. メールソフトやGoogleを装ったフィッシングメール
典型的な事例は、『重要なお知らせ』などのタイトルでGoogleの自動送信メールや担当者などを装い偽のパスワード変更を促すメールを受信します。
メールを開くとリンクと「パスワード変更をお願いします」のような文言が書かれており、偽のサイトに誘導しようとします。
リンクをクリックすると、偽のGoogleログイン画面が開きログイン情報を入力してログインしても何も書かれていません。
これで、攻撃者はメールの受信者をサイトに誘導してGoogleのログイン情報を盗むことに成功します。
3. 添付ファイルに含まれるリンクでフィッシングサイトへ誘導
PDFの添付ファイルを開かせるような内容のメールを受信します。
添付ファイルを開くと、「文書の内容はセキュリティ対策で保護されているため表示できない」という旨の内容が書かれています。
「ここをクリックして文書を閲覧する」のような文言が書いてあり、そこでフィシングサイトに誘導しようとします。
最終的には、ログイン情報の入力をフィッシングサイトで求められアカウントやパスワード情報が盗まれてしまいます。
参考:文書ファイルを悪用したフィッシング詐欺の手口に関する注意点
メール受信時の脅威3つ
メールを利用した攻撃は、基本的には悪意のある第三者からのメールを不用意に開いてしまうことで発生します。
メールを用いた代表的な攻撃例をご紹介します。
1. 標的型攻撃メール
標的型メールとは、特定の個人や企業を狙った攻撃メールです。
不特定多数に送付される迷惑メールとは異なり、受信者の情報を事前に調査して関係者を装ってメールを送信するため、受信者も不審なメールであると気がつきにくいという特徴があります。
近年でも企業に対する標的型攻撃メールによって、顧客の個人情報や機密情報が漏洩したという事例が複数報告されています。
2. スパムメール
スパムメールとは、受信者が望んでいないにも関わらず一方的、かつ大量に送りつけられるメールを指します。
受信者の同意を得ずにメールの配信を行うことは、「特定電子メールの送信の適正化等に関する法律」によって原則禁止とされています。
スパムメールは広告・宣伝の他にも、ウィルスのばらまきやフィッシングサイトへの誘導などを目的としているケースもあります。
3. マルウェア
マルウェアとは悪意のあるソフトウェアの総称です。
悪意のある第三者からのメール内に記載されたURLや、添付ファイルを開いてしまうことで受信者のコンピュータにマルウェアに感染します。
マルウェアの中には、PC内の情報を勝手に暗号化して、元に戻すために身代金を要求するランサムウェアや、コンピュータ内部から外部に対して情報を送るスパイウェアなど、様々なソフトウェアが含まれます。
Mailer To Goは、トランザクションメールに特化したクラウドメール配信システムです。到達率は99% 🎉
メール送信時の脅威2つ
基本的にはメールによる脅威は悪意のある第三者からのメール受信であると解説しましたが、送信時にも気をつけるべき点があります。
送信時の脅威について解説します。
1. メールの盗聴
メール送信者が送信ボタンを押した後、メールは複数のメールサーバーを経由して受信者のメールボックスに到達します。
この時にどこかのメールサーバー間の経路が暗号化されていなかった場合は、そこからメールを盗聴されてしまう恐れがあります。
メール本文に個人情報やログイン情報を記載していた場合はアカウントの乗っ取りや個人情報の漏洩に繋がってしまいます。
また、機密情報を暗号化して送付し、別途解除パスワード付きのメールを送っていたとしてもメールを盗聴されていると意味をなさなくなります。
2. 人為的ミスによるメールの誤送信
悪意のある第三者からの攻撃でなくとも、機密情報や個人情報の流出は発生します。
似た名前の別会社の人に対するメールの誤送信や添付ファイル間違いなど、人為的ミスによる情報漏洩です。
特に、送信先メールアドレスを複数指定していた場合には被害が広くなってしまうため注意が必要です。
企業が実施するべきメールセキュリティ対策6選
メールの送受信に関する脅威について解説しました。
ここではそういったリスクに対応するためのセキュリティ対策について解説します。
1. スパムフィルタ
スパムフィルタとは、スパムメールを自動的に検出しフィルタリングする機能です。
メールのヘッダや本文、添付ファイルなどを分析し、検出したスパムメールをユーザの受信ボックスに届く前にブロックします。
不要なメールが届くことがなくなるので、受信者は有用なメールに集中することができます。
おすすめスパムフィルタ:使えるメールバスター(様々な規模に対応)、Microsoft 365 with IIJ(中小企業向け)
2. 送信ドメイン認証の確認
ドメイン名を詐称する「なりすまし」メールへの対策として、ドメイン認証が行われているかを確認する必要があります。
送信ドメイン認証は以下の技術によって実現されています。
・SPF(Sender Policy Framework)
・DKIM(DomainKeys Identified Mail)
・DMARC(Domain-based Message Authentication, Reporting and Conformance)
これら全てが行われているメールアドレスは、信頼性が高いといえます。
上記の送信ドメイン認証が一つでも行われていない場合はなりすましメールの可能性があるとして受信拒否するなどの対策を取りましょう。
送信ドメイン認証については、「なりすましメールの見分け方は?仕組みや特徴、対策も解説」をご覧ください。
3. メール無害化
メール無害化とは、不審なリンクや添付ファイルを安全な状態に変換・削除する処理を指します。
これにより、悪意のあるコードやウィルスを含む可能性のある添付ファイルを実行してしまう心配がなくなります。
受信した添付ファイルやリンクは、無害化プロセスを通じて分析され、安全であることが確認された場合にのみユーザーに提供されます。
これにより、未知のウィルスにも対応することができるため、ゼロデイ攻撃などのセキュリティリスクを低減することができます。
メール無害化システムの例:Menlo Security(Menlo Security社/NTTコミュニケーションズ株式会社)
4. メールの暗号化
メールの暗号化とは、送信されるメールの内容を暗号化して保護することです。
暗号化により、メールの内容や添付ファイルが第三者による盗聴や改ざんから保護されます。
一般的な暗号化手法には、以下のようなものが挙げられます。
・SSL(Secure Sockets Layer)
・S/MIME(Secure/Multipurpose Internet Mail Extensions)
・PGP(Pretty Good Privacy)
上記の手法を用いることで、メッセージが暗号化され、安全にメールのやり取りを行うことができます。
暗号化技術により、機密情報や個人データの安全性が確保されたコミュニケーションが可能となります。
5. メール誤送信防止
メールの誤送信防止対策としては、宛先のダブルチェックや他メール作成との並行作業をしないなどの従業員の意識教育が効果的です。
また、似た名前の別人への誤送信を防ぐためには、送信先メールアドレスの自動補完機能を用いないことも重要になります。
ただし、個人の確認のみに頼った誤送信対策では不十分です。
誤送信防止ツールを利用するなど、仕組みの中でできるだけミスを無くすような体制を検討しましょう。
6. ウイルス対策ソフトの導入
ウイルス対策ソフトは、コンピュータシステムを攻撃者のマルウェアやウイルスから保護するためのソフトウェアです。
主に、ウイルスやマルウェアの検出、削除、対策などを行なってくれます。
特に企業は、取引先や顧客の個人情報など機密データを扱っているため、情報漏洩やデータの破壊などを防ぐための対策をとる必要があります。
ウイルス対策ソフトを導入することで、マルウェアやサイバー攻撃のリスクを軽減しセキュリティ対策を強化することが可能です。
有名な法人向けセキュリティ対策ソフトには、Nortonやウイルスバスターなどがあります。
7. 従業員のリテラシー強化
ビジネスメール詐欺の中でも、標準型攻撃は特定の組織や個人を狙ったメールで受け取るのは個人になります。
そのため企業でのセキュリティ対策としては、従業員一人一人のメールセキュリティに関するリテラシー強化も重要となります。
従業員一人ひとりがメールに潜むセキュリティリスクを認識し、ウイルスや詐欺から身を守るための教育を継続的に行う必要があります。
メールセキュリティに関するコースの受講呼びかけや不審なメールや添付ファイルの扱い方の訓練などを定期的に行い、危機感を持たせるとともに、フィッシング詐欺やスパムメールの特徴や注意点についても教育し、受信者が不審なメールを適切に判断できるように支援しましょう。
参考:セキュリティ研修
マルウェアを持ったメールを開いてしまったら?
万が一、マルウェアに感染したメールを開いてしまったり、サイバー攻撃に遭ってしまった場合はどうすればいいのでしょうか?
被害が広がるのを防ぐためには、1人で抱え込むのではなく周りの人にすぐに助けを求める必要があります。
1. すぐに上司やメールセキュリティの部署へ連絡
個人情報の漏洩や従業員や会社の機密情報を利用した犯罪に巻き込まれるなど被害が拡大する恐れがあるため、すぐに上司やメールセキュリティを管轄する部署へ連絡をしましょう。
2. ログイン情報を変更する
もし、偽のサイトに誘導されてログイン情報などを入力してしまった場合、直ちにログイン情報を変更しましょう。
攻撃者がログインを行う前にログイン情報を変更することでアカウントへのアクセスを防ぐことができるかもしれません。
しかし、会社のメールセキュリティに関するポリシーに従って行動することが第一です。
3. ウイルス対策ソフトを導入している場合はサポートに連絡
会社の中に特にメールセキュリティに詳しい人がいない場合、部署がない場合には自社で利用しているウイルス対策ソフトやセキュリティ対策に関するサービスのサポートに連絡して指示を受けましょう。
メールセキュリティ対策でサイバー攻撃から身を守ろう
近年では、非常に巧妙に作られた偽サイトや偽メール、偽SMSなどが送られてくる詐欺が増えています。
自分で気をつけていても、気づくことができずに被害に遭ってしまう恐れがあります。
そのような人の目では見抜くことが難しい攻撃を防ぐためにもウイルス対策ソフトやスパムフィルタなど会社全体で取り組むことができる対策は積極的に導入することをおすすめします。
おすすめ記事:メールブラックリストに登録されているかも?メールが届かない場合の対処法
おすすめ記事:メールを確実に届ける!メールリレーサービス比較5つと選び方を紹介
Mailer To Goは、トランザクションメールに特化したクラウドメール配信システムです。到達率は99% 🎉