【2023最新】Eメールのセキュリティ対策、リスクと、製品の選び方
はじめに
企業におけるセキュリティリスクの多くは、メール経由でもたらされます。メールは社内外をつなぐ情報共有の手段であるために、常にサイバー攻撃の突破口として狙われています。悪質化する攻撃に対抗するために、現時点でとれるベストな対策はどのようなものなのでしょうか。
Emotet、標的型攻撃にクレデンシャルフィッシング......、甚大な被害を受ける前に、法人のセキュリティ担当者がすべきことをまとめました。
目次
- メールセキュリティとは?
- メールのセキュリティリスク、その種類
2.1. 迷惑メール
2.2. マルウェアへの感染
2.3. 不正サイトへの誘導
2.4. 標的型メール
2.5. メールの盗聴
2.6. 人的ミスによる情報漏洩 - やっておくべきメールのセキュリティ対策
3.1. 開かない、解凍しない、クリックしない
3.2. HTMLメールは使わない
3.3. ユーザー教育を実施しよう
3.4. メールセキュリティ製品を導入する - メールセキュリティソフトの選び方
4.1. 高い検知力 サンドボックスの解析力、先回り対策としての有効性
4.2. 運用の負荷軽減への有効性
4.3. 最新の脅威への対策 Emotetやクレデンシャルフィッシング対策としての有効性 - メールセキュリティ、性能で選ぶならTrellix(旧FireEye)
5.1. ケース1
5.2. ケース2
1. メールセキュリティとは?
メールセキュリティとは、メールとその流通を担うインフラ、やり取りされる情報などを、様々な脅威から守る技術や対策のことです。メールのセキュリティリスクは、近年多様化しており、それぞれに特化したソリューションが必要です。
メールセキュリティ製品は、メールサーバー(サービス)の手前で全メールを検査する「ゲートウェイ型」の製品と、各デバイスにインストールするエンドポイント型の製品に分類されます。悪性メールの検出のほか、迷惑メールフィルター(スパム対策)、暗号化、誤送信対策なども、企業としては常識といえるメールのセキュリティ対策です。
2. メールのセキュリティリスク、その種類
IPAが発表する「10大セキュリティ脅威」では、例年メールを使った攻撃がランクの上位を占めています。2022年版の組織を対象にしたランキングでは、1位が「ランサムウェアによる被害」、2位が「標的型攻撃による機密情報の窃取」。攻撃手法としてメールを多用するものがトップ2にランクインしています。そのほか、企業のセキュリティ担当者が注意すべきリスクは多々あります。ここでは、代表的な6つを説明しましょう。
① 迷惑メール
迷惑メール(スパムメール)とは、受け取りを望んでいないのに届けられるメールのこと。総務省の統計※1によれば、国内で1日に流通する迷惑メールの数は5.1億通ほどで、メールの総数の約36%にも上ります。ここ数年の国内の統計では、全メールのうち概ね40~50%程度が迷惑メールに該当しています。広告宣伝メールのほか、ウイルスを添付したもの、架空請求やフィッシング詐欺などを目的にしたものなど、悪質なものも少なくありません。
② マルウェアへの感染
マルウェアとは、ウイルス、ワーム、トロイの木馬など、デバイスに対して不利益をもたらすプログラムやソフトウェアの総称です。昨今では、コンピュータをロックし、身代金を要求するランサムウェアの被害が多く報告されています。いずれも感染経路の多くは、メールとなっています。
③ 不正サイトへの誘導
迷惑メールに記載されているURLから、様々な不正サイトに誘導されるリスクがあります。このようなサイトでは、ウイルスへの感染や、不正アプリをインストールさせられる危険があります。特に最近では、銀行、クレジットカード会社、各種クラウドサービスなどの偽装サイトへ誘導され、偽のログイン画面から口座番号やカード番号、ユーザーIDと併せてパスワードを盗むクレデンシャルフィッシングの被害報告が相次いでいます。
④ 標的型メール
不特定多数を狙った「ばらまき」型の攻撃だけではなく、特定の団体や企業を対象に、顧客情報や知財情報などを窃取する標的型攻撃ですが、ここでもメールが使われます。標的型メールは、誰が見てもそれとわかるような安易な迷惑メールとは違い、送信者を偽装するなど巧妙で、見分けるのが難しくなっています。
例えば、2019年頃より度々国内でも猛威を振るってきたEmotetは、標的型攻撃の初手として使われることの多いマルウェアです。
⑤メールの盗聴
メールが送信者から受信者へ届くまでの通信経路において、暗号化されていない部分があれば、盗聴のリスクが高まります。メールの送受信で利用されるSMTP、POP、IMAPといったプロトコルは、いずれも標準で暗号化されていないため対策が必要です。
⑥人的ミスによる情報漏洩
メールの誤送信など、ヒューマンエラーも見過ごせないセキュリティインシデントです。メールは日常使うインフラであるため、ユーザーも緊張感を持ちにくく、「うっかり」が起こりがちです。インクリメンタルサーチにサジェストされた候補先の選択ミス、CCとBCCの入力ミスなど、操作としてはささいなミスでも、メールの内容、添付した情報によっては、重大な事故につながりかねません。
3. やっておくべきメールのセキュリティ対策
ここでは、メールを安全に活用するために、社内でできる対策を紹介します。
① 開かない、解凍しない、クリックしない
「怪しいと感じたら、開かない」は、メールのセキュリティ対策の基本中の基本です。マルウェアは、それとわかるプログラムのほか、圧縮ファイル、ファイル内のダウンロードURLなど、様々な場所に仕込まれています。疑わしい添付ファイルは、独断で開かないこと。また、圧縮ファイルは解凍しない、ファイルを開いたとしても「マクロを有効にする」「編集を有効にする」などのボタンをクリックしないことは大切な心がけです。
② HTMLメールは使わない
リッチなWebメールには、悪性のスクリプトが埋め込まれている可能性があります。メーラーによる「スクリプトの自動実行」は必ず無効にしておきましょう。スクリプトの実行を避けるために最も確実なのは、HTMLメールではなく、テキスト形式でやり取りすることです。
③ ユーザー教育を実施しよう
従業員1人ひとりのセキュリティ意識の向上は、企業全体のセキュリティ強度のアップにも欠かせない要素の1つです。セキュリティ管理者としてすべきことは、最新の情報提供を怠らずにすることや、定期的な教育の機会を作ることなどです。ユーザー教育にまで手が回らないという場合には、様々な教育系ソリューションが提供されているので、検討してください。
④ メールセキュリティ製品を導入する
メールセキュリティの要となるのは、なんといってもメールセキュリティソフトです。まずはゲートウェイで全メールを精査し、悪性メールをシャットアウトすることが重要です。なお、EDR(Endpoint Detection and Response)に注目する方も多いですが、これはあくまで感染してからの事後対応を担うものになります。どちらか一方だけではなく、両面からの対策を行いましょう。
4. メールセキュリティソフトの選び方
メールセキュリティソフトを選ぶ際は、何に注目すればよいのでしょうか。あたり前のことですが、セキュリティ製品で大切なのは性能です。メールの場合には、「脅威に対する検知力」がこれにあたります。具体的には、下記の3つのポイントで検討してください。
① 高い検知力 サンドボックスの解析力、先回り対策としての有効性
マルウェアの手口が日々進化する中で、レピュテーション頼りのセキュリティは意味をなさなくなりました。リストにないマルウェア(未知の脅威)についても判別できなければ、多くの「すり抜け」が発生します。ユーザーの手元にまで悪性メールが届いてしまうことで、感染リスクは各段に高まってしまうのです。未知の脅威への対応力は、最も問われる部分です。
② 運用の負荷軽減への有効性
先回り対策により、「すり抜け」を減らすことは、運用においても重要な意義を持ちます。すり抜けたメールが多ければ、EDRに過剰な負担がかかり、アラート対応でセキュリティ担当者の工数が増加します。これにより、本来の業務へ割くべき手が足りなくなると、結果としてセキュリティ強度が維持できなくなるという問題につながります。
③ 最新の脅威への対策 Emotetやクレデンシャルフィッシング対策としての有効性
現在進行形で猛威を振るう脅威について、きちんと対策できるかどうかも重要な観点です。特に、防御の難しさでセキュリティ管理者を悩ますEmotet、また、巧妙化するクレデンシャルフィッシングへの対応は必須です。
5. メールセキュリティ、性能で選ぶならTrellix(旧FireEye)
Trellix(旧FireEye)は、検知率で圧倒的な性能を見せるゲートウェイ型のメールセキュリティです。その特徴は、独自技術による高性能サンドボックス。怪しい添付ファイルは、実際に「動作させてみる」ことで解析し、悪性メールだった場合には即座に排除します。メール本文や添付ファイル内に記載されたURLについても、独自のURL分析プラットフォームでアクセスして解析し、安全なメールのみを通過させます。また、特に近年、問題になっているEmotetが圧縮ファイルを多用する点にも対応し、パスワード付きのPDF、RAR、LZH、ZIP、7-ZIPも復号して分析します。
Trellix(旧FireEye)の優れた点は、「すり抜け」させないマルウェア対策を実現していること。EDRの手前で威力を発揮し、EDRでの対応工数を最小限に抑える仕組みを実現します。
以下は他製品と比較して、Trellix(旧FireEye)の検知率が優れていることを証明する2つのケースです。他製品が通過させた全メールについて、Trellix(旧FireEye)で再度検証した結果です。
<ケース1>※2
検証対象:製品Aが1ヵ月の間に通過させたメール全140万通
検証結果:Trellix(旧FireEye)による再検査で1万6000通が悪性メールと判明(うちクレデンシャルフィッシングが300件強)
<ケース2>※3
検証対象:製品Bが2週間で通過させたメール全600万通
検証結果:Trellix(旧FireEye)による再検査で550通がEmotetメールと判明
企業向けメールセキュリティは、性能重視で選ばないと意味がありません。
Trellix(旧FireEye)の検知率の高さをぜひお試しください。
▼無償トライアルはこちら
▼製品に関するお問い合わせはこちら
※1 総務省「電気通信事業者10社の全受信メール数と迷惑メール数の割合」(2022年3月時点)
https://www.soumu.go.jp/main_content/000693529.pdf
※2 マクニカ調べ。より詳しい検証データについてはお問い合わせください。
※3 マクニカ調べ。より詳しい検証データについてはお問い合わせください。
▼関連コラム
・「Emotet」をわかりやすく解説。特徴、攻撃手法、被害、感染対策、ツールの選び方
・フィッシングメール|基礎知識から対策、事後対応まで徹底解説
・BEC(ビジネスメール詐欺)の被害にあわないために──。基礎知識から対策まで徹底解説
