情報システム業務は、たった1人で担当していたり、専門ではない方が兼務で担っている状況も多いはずです。そんな方々に情報セキュリティの基礎を知っていただくことで、少しでもお仕事がスムーズになるお手伝いができればという思いで資料を作成しました。
本資料では、「不正アクセスに関する対策」「不正出⾦トラブル対策」「ランサムウェアに対する対策」「リモートワークに対する準備」の4つのテーマでわかりやすくまとめています。
2023.04.25
Episode52
登場人物
情シスマン
ジョーシスマン
Dr. Protocol
ドクター・プロトコル
にのまえ はじめ
ニノマエ ハジメ
多田野部長
タダノブチョウ
チャットツールが普及し、社内外のやり取りでも活用されるようになったが、取引先との重要な連絡、例えば契約書締結などをメールで連絡しあうなど、いまだにメールの重要性は高い。
メールのセキュリティ対策が不十分でマルウェア感染に合ってしまう情シス担当がここにも一人ーーー
情シスマン
どうした、はじめ。
今日は特に慌てているな。
にのまえ はじめ
あ、助けてください!情シスマンさん!
なんかメール開いたらいきなりランサムウェアに感染しちゃって…
情シスマン
む?もしかして、メールのセキュリティ対策はしていなかったのか?
にのまえ はじめ
最近メールはエビデンス残したい連絡でしか使ってなかったので、つい対策忘れてました…
情シスマン
お前ってやつはー...。
仕方ない、今日は企業に必要なメールセキュリティ対策を完璧にしていこうか。
独立行政法人 情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威 2023」のうち組織向けの項目では、1位「ランサムウェアによる被害」、3位「標的型攻撃による機密情報の窃取」となっており、これらはネットワークを直接アタックされるほか、メールを使って従業員が直接攻撃されるケースも少なくない。さらに「ビジネスメール詐欺による金銭被害」も7位にランクインしているのだ。
デジタルアーツ株式会社が2022年9月に発表した情報セキュリティ対策実態調査でも、インシデントで最多となったのはメール経由の攻撃(19.6%)であり、メール誤送信(12%)と併せると3割以上がメール起因のインシデントだったようだ。
なぜ、メールがこんなにも狙われやすいのかというと、「メールアドレスさえ取得できれば攻撃できるから」である。
メールアドレスを登録して利用するサービスから流出したり、企業が使用しているドメインや従業員の氏名からメールアドレスを推定したりなど、入手する経路も多様にあり、メールアドレスの取得はそこまで難しくないのが現状だ。
メールアドレスさえ入手してしまえば、そのメールアドレス宛に、マルウェアを仕込んだ添付ファイル付きメールを送ったり、文面にマルウェアを仕込んだWebサイトのリンクを仕込んだりして攻撃できてしまう。
一度感染させてしまえば、感染したデバイスから情報を抜き取ったり、感染デバイスを踏み台にして他のデバイスを感染させたりすることもできてしまうため、メールを入口とした攻撃に対しては、しっかりとしたセキュリティ対策を施す必要があるだろう。
マルウェアの脅威について解説した記事はこちら
にのまえ はじめ
確かにメール配信する仕組みさえあれば簡単に攻撃できますもんね…
あたかも取引先のような文面にされるとだまされてしまいますよね。
メールセキュリティにおいて気を付けなければならない脅威はいくつもある。今回は絶対に対策しておきたい脅威について解説していこう。
標的型攻撃とは、特定の企業や個人に照準を定めることで精度を高めた攻撃のことを言う。
マルウェアを仕込んだメールなどを取引先などからの業務連絡を装ったメールに仕立て、送信先のデバイスを感染させる手法だ。
最近では、メディアからの取材依頼、求職者からの問い合わせなど、業務上ありえる内容に仕立てられていたり、過去に実際にやりとりした事のあるメール文が引用されている事もあるため、気づかずメールを開封してしまうことも多い。
自分は騙されないぞ!と思っている人ほど騙されるから注意が必要だぞ。
迷惑メールの一つ、スパムメールは、無差別に広告宣伝のメールが大量に送られてくるなど、受信ボックスの容量がパンパンになってしまい、重要なメールを見逃してしまうことも。
直接的な被害があるわけではないが、名前の通り迷惑なメール攻撃である。
迷惑メールの中で、ウイルス感染を目的としたものをフィッシングメールと呼ぶ。
フィッシングメールの場合は、公式サイトを偽ったサイトに誘導してアカウント情報を入力させ盗み出したりするといった直接的な被害を与えてくる。
フィッシングメールで取得した情報をもとに、標的型攻撃やビジネスメール詐欺を行ったりすることもある。
受信するメールだけではなく、送信するメールも気を付けなければならない。送り先を間違って、機密情報が第三者に流出してしまうなど、人的なミスによるメールの誤送信も対策しないといけないインシデントの一つだ。
人間誰しもミスはしてしまう生き物なので、ツール等の対策でリスクを最小限に抑えることが有効だ。
メールの内容が傍受されることで、機密情報が流出することも起こりうる。
原因としてはメールの送受信が暗号化されていない場合や、メールアカウントのID・パスワードが流出していて、他人がログインできてしまう場合などが考えられる。
何かしらの経路でマルウェアに感染してしまった場合、デバイスに登録されている連絡先へマルウェアが仕込まれたメールが勝手に送信され、知らないうちに拡散してしまうことも。
標的型攻撃の一つであり、金銭をだまし取ることを目的としたものをビジネスメール詐欺と呼ぶ。
取引先になりすまし、振込先を変更しました。といって送金を促されたりするなど、金銭的な被害が多く報告されているぞ。
にのまえ はじめ
こんだけいろいろな脅威があるってなると個人単位で気を付けるじゃ対策できないですね。
情シスマン
そうだな。では、どういった対策をとっていけばよいかを解説していくぞ!
最低限企業で実施したいメールセキュリティ対策を紹介していこう。
まず実施したいのがウイルス対策ソフト(アンチウイルス)のインストールだ。
アンチウイルスソフトは、ウイルスやマルウェアなどの侵入を検知・防御したり、除去したりしてくれるソフトだ。
メールに添付されているファイルのウイルススキャンなどの機能もあり、メールのセキュリティ対策としても有効なので、とにかくまだ何もしていない!という人はアンチウイルスソフトの導入から始めよう。
アンチウイルスについて解説した記事はこちら
スパムメールをサーバ側で自動で判別、ブロックする対策もすぐできるかつ有効な対策である。
ある程度サーバ側でスパム判定をしてくれるが、一部すり抜けて受信してしまうこともある。
その場合は、メールやアドレス毎に受信拒否や迷惑メールフラグなどの対応で振り分けしていくと良いだろう。
Gmail(Google Workspace)などのグループウェアサービスでは管理者側でもフィルタ設定を行うこともできるため、普段利用しているメールサービスの設定方法などを確認してみよう。
人的なミスであるメール誤送信は、できればツールを活用して防ぎたいところ。
いくら送信先、メール内容をチェックして、送信ボタン押してから10秒はキャンセルできる設定にしても、ミスは起こる。
メール誤送信対策のツールを入れることで、システムでのチェックも入るため、リスクを軽減させることができるだろう。
特に暗号化対策をしていないと、悪意のある第三者によってメールの内容をのぞき見される危険がある。メール自体を暗号化し、窃取されにくくすることで、個人情報や機密情報などを守ることができる。
最近では、Web会議のURLなどを盗み見て、その会議内容を盗聴したり資料を不正にダウンロードされるといったことも起こるため、個人情報や機密情報はメールで扱わないよ!という人も、今一度暗号化について考えるとよいだろう。
メールの暗号化と同様に、添付ファイルの暗号化も重要である。
添付ファイルにパスワードをつけずに送っている場合、送り先を間違ってしまったら情報漏えいに直結してしまう。
別メールでパスワードを送る際に送り先の間違いに気づければ、相手先が添付ファイルを開けず見られることなく削除依頼することができる。
また、添付付きファイルを送信する際、相手が開封する前に本人確認をすると認証コードが届く、というツールもあるぞ。
添付ファイルのパスワード設定、パスワードの共有については、「脱PPAP」についても併せて考えておくとよいだろう。
人的な部分でもセキュリティ対策を施しておくとよいだろう。
定期的に標的型攻撃のようなメールを社内で配信してそれを開くかどうかを訓練したり、世間で話題になったインシデントを周知したりして、日頃から従業員のセキュリティ意識を高めておくことも効果的だ。
にのまえ はじめ
なるほど!とりあえずサービスの導入で対策できるところはどんどんしていきたいですね!どんなサービスがおすすめですか?
情シスマン
会社や業務によっておすすめは変わるが、多くの場合に活用できるサービスを紹介しよう!
おすすめしたいメールセキュリティ対策のサービスはいくつかある。「これさえ入れておけば大丈夫!」というサービスはない。様々なサービスでそれぞれの角度から対策する必要があるぞ!
Google Workspace を利用している場合、デフォルトで強力な迷惑メールフィルタが適応される。
不正なURLが記載されいてる、空メールである、既存アドレスを模したアドレスからのメールである場合など、迷惑メールとして処理してくれる。
自分自身で特定のメールアドレスをブロック対象にすることもできるため、使い勝手の良いメールフィルタと言えるだろう。
Google Workspace について詳しく解説した記事はこちら
メールでの安全なファイル共有に欠かせないツールとして脱PPAPツールがある。
特に HENNGE One は、Microsoft 365(Exchange Online)や Google Workspase(Gmail)と連携が可能で、多くの企業で採用しやすい脱PPAPサービスだ。メール監査・標的型攻撃対策も実現することができるのがポイントだ。
脱PPAPについて詳しく解説した記事はこちら
宛先間違いやファイルの添付間違い、ダイレクトメールの送信時に大量の宛先を指定することで起こる情報漏えいなどを防ぐ時におすすめなのがクラウド型メール誤送信防止サービスだ。
Google Workspace や Microsoft 365 の他、レンタルサーバでメールを運用している企業でも導入が可能で、送信保留、添付ファイル暗号化、BCC強制書き換えといった機能が使える。
セキュアエンドポイントサービス(Va)はEPPとEDRの機能を持ち合わせ、アンチウィルス+感染後の被害防止が叶うセキュリティサービス。
エンドポイントの総合的な対策を行うことで、メールからのウイルス侵入から、侵入後の対応までを任せることが可能だ。
にのまえ はじめ
ありがとうございます!
いろいろな角度から対策をすることで、メールにおけるセキュリティリスクに対応することができるんですね。うちの会社でも導入進めます!
情シスマン
よかった、無事解決だな!
強い情シスが企業を伸ばす!また会おう!さらばだ!
まとめ
【解決】~ICT SOLUTION!~
業務になくてはならないメール。メールのセキュリティ対策を万全にしておくことで、社内外の様々なやり取りも安心して行うことができるようになる。
この機会にメールセキュリティについて見直し、サービスの導入を検討してみよう。
「USEN GATE 02― Google Workspace ―」
「USEN GATE 02― メール誤送信防止 ―」
「USEN GATE 02― セキュアエンドポイントサービス(Va) ―」
「USEN GATE 02― HENNGE One ―」
HENNGE One は、Google Workspace のオプションとしてご利用いただけます。
TO BE CONTINUED…
情報システム・セキュリティ学びスタートアップガイド
情報システム業務は、たった1人で担当していたり、専門ではない方が兼務で担っている状況も多いはずです。そんな方々に情報セキュリティの基礎を知っていただくことで、少しでもお仕事がスムーズになるお手伝いができればという思いで資料を作成しました。
本資料では、「不正アクセスに関する対策」「不正出⾦トラブル対策」「ランサムウェアに対する対策」「リモートワークに対する準備」の4つのテーマでわかりやすくまとめています。
にのまえ はじめ
メールタイトル「ご契約について」って連絡来たけど、この会社と何か契約したっけな…とりあえず、URL開いて…って、あれ?
変な画面がでてデータを返してほしければお金払えって!?
ランサムウェアに感染しちゃったよ(汗)なんとかしないと!!!!