企業で働く従業員たちが普段からやりとりしているビジネスメールは、実は常に攻撃者に狙われているといっても過言ではありません。機密情報などを手に入れようとしている者にとって、メールは利用しやすいツールだといえます。こうしたリスクに備えるためには、企業は何をすべきなのでしょうか。今回は、把握しておきたいメールに関する6つの脅威と、メールセキュリティ対策について解説します。

企業にとってメールセキュリティ対策が重要な理由

メールがビジネスに使用されるようになって20年余、現在ではあらゆる業種の企業が日常的にメールを活用しています。しかし一方で、メールを狙った外部からの攻撃もあとを絶たず、現在も企業におけるセキュリティインシデント発生件数のトップにはメール絡みの事例が並んでいます。

なぜメールが狙われやすいのかは、攻撃者の立場になって考えてみると想像がつきます。最も大きな理由は、メールアドレスさえわかっていれば簡単に標的にアプローチできるからです。添付ファイルを開かせる、URLリンクをクリックさせる、文面を装って騙すなどの手口を使い、メールを突破口にしてさまざまなサイバー攻撃を仕掛けることが可能です。

もしもこうした攻撃についての対策をしていなければ、マルウェア感染などを通じて容易にPCを乗っ取られてしまいます。あとは重要な情報を窃取・漏えいさせられる、金銭を騙し・脅し取られる、ほかの企業への攻撃の踏み台にされる、といった企業にとって大ダメージにつながるリスクがあるのです。

多くのサイバー攻撃の入口となってしまうメールには、堅牢なセキュリティ対策を施すことが必要不可欠です。

企業のメールセキュリティ上の6つの脅威

企業が注意しなければならないメール関連のインシデントにはどのようなものがあるのか、6つの代表的な脅威を挙げてみましょう。

1.迷惑メール

迷惑メールの代表的なものがスパムメールとフィッシングメールです。

スパムメールは無差別に送られてくる広告・宣伝メールです。直接的な被害を受けることは多くありませんが、大量に送られてくれば受信ボックスの容量を圧迫します。

フィッシングメールは公式サイトを装った偽サイトに誘導し、ユーザID、パスワードなどのアカウント情報、クレジットカード情報などを盗み出そうとする詐欺メールです。企業向けではクラウドサービスのアカウント情報を入手して機密情報を盗み出す、あるいは後述する標的型攻撃メールやビジネスメール詐欺のための情報を仕入れるといった事例が確認されています。

2.標的型攻撃メール

不特定多数ではなく、特定の企業や個人を狙って送りつけられるメールです。業務用の連絡メールを装うなどしたメールが送られてきて、添付ファイルを開封するとマルウェアに感染するといったケースが典型的です。

新聞社・出版社などからの取材依頼、就職希望者からの履歴書送付、公的機関からの情報セキュリティについての注意喚起など、一見するだけでは「怪しいメール」とは気づかないように作り込まれた標的型攻撃メールが増えています。

3.ビジネスメール詐欺

ビジネスメール詐欺は標的型攻撃の一種で、金銭を騙し取ることを目的としたものです。自社の経営者から偽メールが送られてきて、「秘密裏に進めたい買収案件の資金を用意したい」と指示されるケース、取引先企業とやりとりをしている最中に相手企業になりすましたメールが割り込んできて請求書を添付され、「振込先口座が変わったのでこちらへ送金を」と依頼をされるケースなどがあります。ビジネスメール詐欺は被害額も莫大になりやすいという特徴があります。

4.メールの傍受（盗聴）

メールを傍受されていて重要な情報が漏えいする、上記のビジネスメール詐欺でのメール割り込みに利用されてしまうといった事案も起きています。

送信経路が暗号化されていない場合、その経路のどこかでメールが盗み見られている可能性があります。また受信者のIDとパスワードが知られていて、メールを見られているケースもあります。PC内にメールが残っている場合、PCが乗っ取られれば過去のメールをすべて読まれてしまいます。

5.マルウェアの送受信

マルウェアはメールの添付ファイルに埋め込まれているケース、URLをクリックしてアクセスしたサイトに仕込まれているケースなどがあります。PCがマルウェアに感染すると登録してあるメールアドレス宛に勝手にマルウェアを添付したメールを送信、拡散に加担させられる危険性もあります。

6.メールの誤送信

人為ミスによるメールの誤送信も非常に多く起きています。送り先を間違える、誤ったファイルを添付する、コピー＆ペーストなどを使った際に間違った内容の本文を送ってしまう、といった自分自身の誤操作や勘違いによるインシデントです。

ビジネスメールの誤送信は意図しない情報漏えいにつながり、被害者への損害賠償に発展することもあります。

企業に必要なメールセキュリティ対策

メールセキュリティを強化するには、まずウイルス対策ソフトの導入とスパムメールフィルタ設定、メールの暗号化といった基本的な対策をしっかりと行っておくことが大切です。中でもウイルス対策ソフトは、ウイルス定義ファイルを常に最新の状態に保つための自動更新設定なども見直しておきましょう。

加えて重要なのが、この記事で取り上げたようなメールに関わる「脅威」の存在や手口の把握です。脅威の種類を知ることで、添付ファイルを安易に開封しない習慣、URLをクリックしない慎重さが身につきます。メールセキュリティに関する情報共有・意識づけのための社員教育・研修を行いましょう。

誤送信を防ぐために注意を払うことも必要です。ただ、人為ミスはわかっていても起こるものなので、誤送信を防ぐための仕組みを作ることも重要です。ファイル転送サービスである「メールdeファイル」には、誤送信防止機能や添付ファイルを安全に送受信する機能が搭載されており、こうしたツールの導入も大いに役立ちます。

ビジネスメールのセキュリティ対策がおろそかだと、情報漏えいや金銭的被害、サイバー攻撃への加担などさまざまなリスクにさらされます。今一度、御社のメールセキュリティを見直してみてはいかがでしょうか。

ファイル転送サービス「メールdeファイル」について詳しく知りたい方は、メールdeファイルのご案内もあわせてご覧ください。