普段使っているメールについてもセキュリティが気になりますよね。

標的型攻撃メールやフィッシングメールなどの被害もニュースなどで目にすることが増えているかと思いますので、この記事に辿り着いた方の中には「何か対策をしないと不安」と思っている方も多いかと思います。

メールには企業の機密情報や個人情報なども含まれていることが多いので、盗聴などされてしまったら情報漏洩の被害は甚大ですし、サイバー攻撃でなくても「メールの誤送信」など、自分自身のミス・ちょっとした気の緩みから被害を招いてしまうこともありますので注意が必要です。

今回はメールのセキュリティ対策について、概要から自分でできる対策方法まで整理しましたので、ぜひご覧いただき参考になればと思います。

メールセキュリティの必要性

「メールを使わないと仕事にならない。。」という方は多いかと思います。
送信者は自分の好きな時に送信できて、受信者は自分にとって都合の良いタイミングで確認できる便利な道具ですよね。
しかし、便利な反面、しっかりとメールセキュリティ対策を施さなければ、思わぬトラブルに巻き込まれてしまう可能性があります。

メールセキュリティ対策をおろそかにすることで、情報漏洩のリスクが高まり、マルウェアなどに感染し、さらには標的型攻撃のターゲットにされてしまう事があるのです。

対策をしないとどうなる?

電子メールを悪用したセキュリティリスクには様々なものがあります。
マルウェアの感染・フィッシング詐欺・スパムメール・メールの誤送信・盗聴・なりすまし・改ざん……など。メールを利用したサイバー攻撃の手法は巧妙かつ複雑になってきいます。そのため、リスクに応じてメールセキュリティ対策の方法も変わってきます。

仕事上またはや常生活を安全に行うためも、メールセキュリティ対策を適切に行う必要があります。
例えば、電子メール経由でマルウェアに感染した場合、お使いのパソコンが異常動作を起こしたり、内部に保存されているデータが外部に漏洩したりするリスクが発生します。

ショッピングサイトやネットバンクのIDやパスワードが漏洩してしまった場合、悪意のある第三者に悪用され、金銭的な損害が発生します。
特に仕事で使用しているメールの場合、このようなリスクが発生すると、金銭的な損害が発生するだけでなく、顧客から信頼も失ってしまいます。

メール送受信の仕組み

メールの送受信の基本的な仕組みは以下のような流れになっています。

  1. メール送信者はメールソフトからメールを送信する(SMTP)
  2. 送信されたメールはメールサーバーに送信される(SMTP)
  3. メールサーバーに届いたメールは受信者が使用しているメールサーバーへ転送される(SMTP)
  4. メール受信者はメールサーバーにアクセスしてメールが届いているかどうかチェックする(POP・IMAP4)
  5. メールサーバーにメールが届いていたらメールを受信する(POP・IMAP4)

メールの送信はSMTP(Simple Mail Transfer Protocol)というプロトコルを使用し、受信にはPOP(Post Office Protocol)やIMAP4(Internet Message Access Protocol Version 4)を使います。

POPとIMAPの違い
メールの受信にはPOPとIMAP4という2つのプロトコルを使用することができます。
この2つのプロトコルでは、受信したメールを管理する場所が異なります。POPでは受信したメールを受信者のパソコンにすべてダウンロードして管理します。
一方、IMAP4ではメールはサーバー上で管理されており、必要なメールのみダウンロードされる仕組みとなっています。IMAP4ではメールの検索やフォルダへの振り分けなどもメールサーバー上で行う事ができます。

基本的な電子メールの送受信のプロセスは上記のようなものですが、最近では電子メールを暗号して送信する仕組みを取り入れたり、送信時に認証をさせたりするような仕組みのサーバーを利用していることもあります。

メールに潜む情報漏洩の脅威

メールセキュリティ対策が不完全な場合、以下のような情報漏洩の脅威が発生します。

マルウェアの送付・感染

メールの添付ファイルからマルウェアに感染することがあります。マルウェアに感染させるタイプの添付ファイルは、実行可能ファイル(拡張子.exe)やMS Officeのマクロが含まれたファイルなどがあります。特に標的型攻撃メールの場合、大丈夫だと思いこんでしまうことで、添付されているファイルを開いてしまうケースが圧倒的に多いです。使用しているパソコンがマルウェアに感染してしまうと、使用者が気づかないうちに、別の相手にマルウェアを添付しているメールを送信してしまうこともあります。

参考マルウェアとは?その種類・感染経路と対策を徹底解説

フィッシング(不正サイトへの誘導)

フィッシング詐欺とは、金融機関などの正式な組織などになりすましてメールを送信し、メール内に指定されている偽のURLにアクセスさせるなどの方法で、クレジットカード番号やID・パスワードを盗み出す詐欺の事を言います。

フィッシング対策協議会の資料によるとフィッシング詐欺の被害は、2014年は1,876件で約29億円、2015年は1,495件で約31億円、2016年は1,291件で約16億8700万円の被害が発生しています。減少傾向にある理由として、金融機関などの対策が進んできたことが挙げられますが、現在でも多額の被害が発生していると言えるでしょう。

参考フィッシングレポート2017

フィッシング詐欺の対策として、不審なメールだと思ったら本文に書かれているURLなどにアクセスしない、リンク先のホームページがSSLを使用しているかどうかを確認するなどの対策を取る事が有効です。

標的型攻撃(スピア型メール)

標的型攻撃(スピア型メール)とは特定のターゲットを狙って重要なデータや個人情報を盗もうとする攻撃のことです。先ほど紹介したフィッシング詐欺は不特定多数のユーザーをターゲットとしていますが、標的型攻撃は、攻撃相手のことをあらかじめ詳しく調査し、ごく自然な件名や文面のメールを送信することにより、巧妙に受信者をだますことを目的としています。

スピアとは英語で「spear」とつづり、日本語では「槍」という意味になります。特定のターゲットを1点に絞って狙う攻撃という意味でスピア型攻撃と呼ばれるようになりました。

標的型攻撃の攻撃者は愉快犯やいたずらが目的ではありません。狙ったターゲット企業やユーザーが保有する情報を盗む事を明確に目的としている攻撃者がいることが特徴です。ごく自然なメール本文の内容でも、添付ファイルを開いたり、URLをクリックしたりするような行為は普段から注意しておくことが何よりの対策となります。
参考標的型メール攻撃とは?その特徴と対策を徹底解説

メールの盗聴

送信者がメールの送信をしてから、受信者が受信するまでの経路を監視することで、メールの中身が盗聴されることがあります。また、メールの受信サーバーのIDとパスワードが漏洩していると、第三者がメールサーバーにログインすることにより、メールの中身を盗聴されることがあります。

メール誤送信

メール誤送信とはメールを送信する際に宛先の設定ミスや内容を間違えて送信してしまうことです。メール誤送信には主に2つのケースがあります。

  • 送信先メールアドレスの入力ミス
  • 送信するはずでなかった情報を送信してしまう。

BCCで送信するべきアドレスをCCで送信したり、添付ファイル間違えて送信したりするなどの行為も含まれます。マルウェアや標的型攻撃によるリスクとは異なり、メールの誤送信は送信者の不注意により発生してしまうリスクの1つです。メールは一度送信してしまうと、取り消すことができません。メールを送信する前に、「宛先」「本文」「添付ファイル」の3つを十分に確認することが必要です。

5つのセキュリティ対策

これまでメールを利用するうえでのメールセキュリティリスクについて解説してきました。このようなリスクを防ぐためにどのような対策を取ればよいのでしょうか。いくつかの方法を解説します。

1.ウィルス対策ソフト

使用しているパソコンにウィルス対策ソフトを導入しましょう。ウィルス対策ソフトをインストールしておくおことで、使用しているパソコンにマルウェアの感染を防ぐことができ、また他のパソコンへのマルウェアの感染拡大を防御できます。

ウィルス対策ソフトには様々なものがありますが、基本的にはどれも同じような機能を備えております。利用する際にはウィルス定義ファイル(パターンファイル)を常に最新のものを適用させておくことが重要です。

2.スパムメール設定

スパムメールは広告や商品の情報などが掲載されている不特定多数に送信される迷惑メールの事です。出会い系業者や情報商材を取り扱っている業者などから営利目的で送信されることが多いです。

このようなメールは無視したりブロックしたりすれば対処可能ですが、本文に記載されているURLや添付されているファイルをクリックしてしまうと、パソコンが乗っ取られたり、踏み台となってスパムメールの送信元になってしまうこともあります。

スパムメールには「配信を停止する」というリンクがメールの下部に書かれているもの多いですが、これをクリックしても配信が停止できるようにはなっていません。それどころか、クリックすることで、また新たなスパムメールが送信されたりすることもあります。

スパムメールへの対策は「メールサーバー側での対策」と「ユーザー側での対策」の2つの方法があります。メールサーバー側での対策は、プロバイダやGmailのようなメールサービスを行っている業者がサーバーサイドで行われています。メールの内容を判断してスパムメールの可能性の高いものを、自動的にスパムメールとして処理するような機能を提供します。

一方、ユーザー側での対策は、特定のメールアドレスから送信されているメールを受信拒否したり、スパムメールフォルダへ自動的に振り分けたりするなどの処理を設定することです。これらの設定はほとんどのメールソフトで設定することができます。スパムメールフィルタ機能には学習機能が備わっているものもあり、フィルタリングを続けていくことで、スパムメールの自動振り分けの精度が向上していくようなものもあります。

3.メールの暗号化

メールで送信するメッセージを暗号化する方法が普及しています。メールを暗号化することで以下のようなセキュリティ対策につながります。

  • 盗聴対策:ネットワーク上に流れているメールの盗聴を防ぎます。
  • 改ざん対策:送信したメールの中身が書き換えられることを防ぎます。
  • なりすまし対策:本来の送信者になりますしてメールが送信されることを防ぎます。

電子メールの暗号化には主に「TLS/SSLを利用する方法」と「S/MIMEを利用する方法」の2つの方法があります。

TLS/SSLを利用する方法では一度設定しておけばすべてのメールを暗号化することができますが、メール送信者が本人であるという「なりすまし対策」をすることができません。

参考SSL/TLSの解説と選び方まとめ|ジオトラスト

一方、S/MIMEとは電子署名を利用した認証やメールの暗号化を行う事できる技術です。認証局が発行した電子証明書を利用することで、メールそのものを暗号化することが出来ます。電子署名を利用することで「なりすまし対策」をすることが可能です。

参考S/MIMEとは メールへの電子署名と暗号化の仕組み|グローバルサイン

4.メール無害化

メールの無害化とはメールの本文や添付ファイルを安全なものにするために、様々な処理を行う事です。メールの無害化には大きく分けて2つの方法があります。1つは添付ファイルやメール本文の無害化、もう1つは攻撃に使われるプログラムなどの無害化です。

添付ファイルに含まれているテキストを抽出して、メール本文に反映する方法や、あるいはメール本文や添付ファイルの内容をまるごと画像ファイルにしてしまうという方法もあります。

また、攻撃に使われるプログラムの無効化として、メール本文に含まれるURLをクリックできない形式に変換したり、URLそのものを削除したりする方法が挙げられます。HTMLメールをプレーンのテキストメールに変換することもなども含まれます。

しかし、メールの無害化によって受信したメールがオリジナルとは異なってしまうという問題が発生します。オリジナルのメールはサーバー上やシステムのストレージに残されているので、オリジナルのメールが必要な場合は、システムの管理者などに申請する必要があるでしょう。

メール無害化サービスには下記のようなものがあります。

SHIELDEX


ネットワーク分離環境で外部流入ファイルを 無害化技術で無害化し、再構成して安全なコンテンツだけ内部ネットワークに転送
サイトURLhttps://www.shieldex.co.jp/

Temp Box


「フィルタリング機能」「メールの無害化機能」「メールの二重配送機能」「なりすまし検知機能」を併せ持つ、メール無害化サービス
サイトURLhttp://www.tempbox.jp/model/

5.メール誤送信対策

メールの誤送信は送信者の操作ミスや不注意が原因で起こる事が多く、送信者が慎重に操作することで大半は防ぐことができます。しかし、メールの誤送信は発生件数が多いため、メール誤送信対策を目的としたサービスやソフトウェアも数多く存在しています。

メールを書き終え、送信ボタンをクリックするとポップアップが表示されて注意を喚起する文言が表示されたり、送信されたメールを一時的に保留したりすることができるサービスなどです。

もし誤送信が発生してしまったら、関係者に対して速やかに電話などで連絡をとり謝罪し、そして今後の対応などを相談する必要があります。本来の受信者ではない第三者にメールを送信してしまった場合は、受信したメールの削除を依頼することが必要です。

メール誤送信防止には、下記のようなサービスがあります。

サイファークラフトメール


メール誤送信防止市場で10年連続シェアNo.1!
サイファークラフトメールは、メール誤送信防止、メール暗号化の機能を備え、日常業務で発生するメールによる情報漏えいを未然に防止することが可能なソリューションです。
サイトURLhttps://www.ciphercraft.jp/mail/

safeAttach


BRODIAEA safeAttachはうっかりミスを防ぐメール誤送信対策アプライアンスサーバです。 メール誤送信を未然に防ぐ、メール保留、自動暗号化、自動BCC化、送信ブロック、第三者確認などの機能を備え、簡単かつ低価格な導入と、柔軟な運用を実現するアプライアンス製品
サイトURLhttp://www.crosshead.co.jp/products/security/safeattach/

まとめ

メールに関するセキュリティ上のリスクとその対策方法について紹介してきました。プライベートやビジネスの場において、電子メールは必須の連絡手段です。

そのため悪意のある第三者にとっては攻撃対象として狙いやすいツールでもあります。

メールには様々なセキュリティ上のリスクが存在することを知り、安全に運用するために日ごろからセキュリティ対策を施しておくことが重要と言えるでしょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

この記事が気に入ったら
フォローしよう

最新情報をお届けします

Twitterでフォローしよう

おすすめの記事