情報セキュリティ対策 〜メール〜
1.メールの使用に際してのセキュリティ
1-1.メールのマナー
≪メールの件名は的確な表現で≫
メールは、標的型攻撃などの攻撃の手段として多く用されます。
的確な件名(タイトル)を付け、不審なメールと誤解されないよう心がけましょう。
何度か返信を繰り返していると、件名と中身が掛け離れたものに成ってしまうことがあるので注意が必要です。
≪メールの送信者名をわかりやすく設定する≫
送信者名は、受信者が、そのメールが不審なものでないかを判断する、最初の手掛かりです。誰が発信したものか、送信者名が的確に分かる表記をしましょう。
≪ファイルを添付するときは、本文にその案内を書く≫
マルウェアは、メールの添付ファイルとして送られることが多くあります。受信者が、送信者が添付したファイルであることを確認できるように、ファイルを添付する旨を記し、添付したファイル名を本文に表記すると良いでしょう。
1-2.メールソフトのセキュリティ対策
Outlook Express、Windowsメール等、メールソフトの使い方に気をつけたり、各種セキュリティ機能を有効にするだけでも、メールによるマルウェアの感染を未然に防ぐことが可能です。ここでは、その代表的な例をご紹介します。
≪メールや添付ファイルは安易に開かない≫
- メールの開封や添付ファイルを開くことでマルウェアに感染する恐れがあります。特にhtmlメールにはマルウェアを埋め込み易いので注意が必要です。
- 件名や送信元に少しでも不審を感じたら、開かずにそのまま削除しましょう。
- メールをいきなり開くより、プレビュー機能を使って内容を確認する方が安全です。
- メールをいきなり開くより、プレビュー機能を使って内容を確認する方が安全です。ただし、プレビューも常に安心できるわけではありませんので注意が必要です。
≪メールの読み取りおよび送信をテキスト形式にする≫
- htmlメールに埋め込まれたJavaスクリプトやActiveXコントロールの自動実行により、マルウェアに感染することがあります。
- 受信メールの表示形式は、テキストを指定しましょう。
- 送信するメールもテキスト形式で送ることが、相手にとっての安全確保にもつながります。
≪htmlメールのスクリプト自動実行はオフにす≫
- htmlメールには、JavaスクリプトやActive Xコントロールその他の自動実行モジュールを容易に埋め込むことができます。それを利用して、受信したメールをプレビューするだけで感染するマルウェアもあります。
- メールソフトの設定において、htmlメールに埋め込まれたスクリプトやリモートモジュールの自動実行は、オフにする方が安全です。初期設定はオンになっている場合が多いので注意が必要です。
≪メールソフトのセキュリティ設定を確認する≫
- 主なメールソフトについて、セキュリティ設定の方法がネット等で公開されています。参照し、安全なメール送受信環境を整える様にましょう。
1-3.メールの宛先指定を適切に
≪アドレス設定ミスで情報漏洩を起こす危険≫
次のような場合に、関係ない第三者に秘密情報を送ってしまう危険があります。
- アドレスの記入ミス
- アドレス帳からの選択ミス
- メールソフトのオートコンプリート機能で違うアドレスが設定されるミス
いずれの場合も、本来の相手先に必要な情報が届かず、関係ない誤送信の相手に余計な情報が届き迷惑をかけることになります。
そして、メールの内容や添付ファイルの内容によっては、重大な情報漏洩につながり、賠償責任を負ったり、信用を失うことにもなります。
≪cc、bccの使い方を間違えて情報漏洩を起こす危険≫
メールアドレスは、個人情報に該当するとみなされる可能性があります。
アドレスの設定ミスで、関係ない第三者に他人のアドレスが知られた場合、個人情報漏洩事件として扱われる可能性があります。
- to: 正規の宛先。メールを受信した人全てが、誰宛のメール分かる
- cc: 写し送付先。メールを受信した人全てが、誰に写しが送られたか分かる。
- bcc: 匿名送付先。メールを受信した人全てが、toとccの送り先は分かるが、bccによる送付先(bccで受け取った本人以外)は分からない。bccは、送られた先を他の受信者に知らせたくないときに利用できます。
以上を理解して、ccとbccを上手く使い分けることにより、情報漏洩を起こさないよう注意しましょう。
2.メールに伴うセキュリティリスク
メールは、ビジネスにおいても個人間においても、情報の連絡や伝達の手段として、便利で経済的なもので広く普及しています。裏を返すと、悪意のある人達にとっては、格好の攻撃対象や犯罪の手段ともなります。
メールは、特に匿名性が高く、遠距離でもほとんどコストをかけずに、同時に、多量に、繰り返し送信することが可能です。自動化することもできます。このような特徴は、攻撃したい人、悪さをしたい人、不正なお金儲けをしたい人、特定の主張をしたい人にとっては、とても便利な手段となります。
2-1.メールを利用した攻撃
≪マルウェアの送付・感染≫
メールの添付ファイルにマルウェアを仕掛け、巧妙な文面で開封させ感染させる。
≪危険なWebサイトに誘導してマルウェアを感染させる≫
メールの本文にあるリンクをクリックすることで、罠が仕掛けられたWebサイトに誘導され、そこからマルウェアを送り込まれる。
ダウンロードなどしなくても、アクセスしただけでマルウェアを送りつけるケースもあり、検知が難しく非常に危険です。
≪フィッシングサイトに誘導して情報を盗み取る≫
カード情報が漏れたためのセキュリティ対策とか、特別な賞が当選した等、巧妙な文面で、実在する金融機関やオンラインショップ等のWebサイトを装った偽のWebサイトに誘導し、クレジットカード番号、ID、パスワードなど、金銭詐取ができる情報を入力させて情報・金銭を盗み取る。
≪ワンクリック詐欺で金銭を脅し取る≫
巧妙な文面でメールの本文にあるリンクをクリックさせたり、メールに仕掛けたマルウェアにより、何らかの契約が成立したかのように思い込ませ、執拗に不当な請求を行い振込みをさせたり、電話を掛けさせて本人情報を入手し、金銭を脅し取る。
≪標的型攻撃の準備のために内部情報を盗み出す≫
本人のメールが盗み見るなどして、特定の者に向けて、あたかも本物のような内容のメールを送り、返信させることで同僚の名前、上司の名前、プロジェクト名等の内部情報を聞き出、さらなる標的型攻撃に利用され、マルウェアを仕掛ける等の攻撃の手助けをすることになる。
≪メールを用いたサービス妨害攻撃≫
メールを受信するサーバに対して大量のメールを送りつける(DDoS攻撃)ことにより、サーバに大きな負荷を掛け、処理を遅らせたり機能停止させたりし、業務を妨害する。
2-2.メールを介したマルウェア感染
メールに伴うセキュリティリスクにおいて、特に目立つ被害が、メールを介したマルウェアの感染です。
- メールの添付ファイルとしてパソコンに侵入する
- メールのプレビューによりマルウェアが実行されてしまう場合もある
- 添付ファイル等の実行により感染し、感染したことに気付かない
- 登録してあるメールアドレスに、マルウェア付きメールが自動的に送信される
- 送信されたマルウェア付きメールは、送信記録が残ず気付かない場合がある
3.添付ファイル
3-1.添付ファイルの問題点
メールで頻繁に使用される機能の一つである添付ファイルは、以下のようなトラブルを起こす可能性があります。
≪大容量ファイルの添付≫
企業によっては、ネットワークの負荷を考慮し、大きなサイズのメールの送受信に制限を設定している場合があります。
非常識なサイズのメールの送信は、ネットワーク負荷を高め、自社および相手先の業務妨害となったり、制限により必要な情報が相手に届かないといったトラブルを引き起こす可能性もあります。
≪マルウェアの送付≫
自分のパソコンがマルウェア感染している場合、添付ファイルに潜んでいるマルウェアを送ってしまう可能性があります。
メールは、知らない間にマルウェアをばらまく格好の手段として利用されることがあります。
3-2.受診メールの添付ファイル
添付ファイルはメールの便利な機能の一つですが、受信メールに添付されてくるファイルには危険が潜んでいる可能性があります。受診した添付ファイルを扱うには十分な注意が必要です。
≪送信者名と件名に注意≫
いつも受信しているよく知っている人からのメールか、送信者名やメールアドレスを確認し、不審な送信者や不審な件名でないかに注意を払ってください。
また、同報先にも不審な点(含まれるべき人が漏れている、知らない人が含まれている)がないかも注意してください。
≪添付ファイル名や拡張子に注意≫
添付のファイル名が、いたずらに長いファイル名でないか、意味不明のファイル名になっていないか、文字化けしていないかに注意してください。
また、拡張子が実行形式、圧縮形式(圧縮ファイルは偽装やウイルス対策ソフトをすり抜けるために使われやすい。)や不審な拡張子でないかにも注意してください。
≪添付ファイルのサイズに注意≫
添付ファイルのサイズが、極端に大きいとか、極端に小さい場合には注意をしてください。
3-3.送信メールの添付ファイル
添付ファイルはメールの便利な機能の一つですが、メールで添付ファイルを送る場合には、いくつかの注意事項があります。
≪添付ファイルの名前や拡張子に注意≫
拡張子が実行形式や圧縮形式のファイルなどは不正なプログラムである可能性があるので、企業によっては送受信を拒否している場合があります。そのようなファイルを送る必要がある場合は、先方にあらかじめ了承を取り送り方を確認しましょう。
また、マルウェアなどと誤解を受けないために紛らわしい名前のファイル名を避けるようにしましょう。
≪極端に大きなサイズのファイルを添付しない≫
大きなサイズのファイルは圧縮や分割してから添付するようにしましょう。
また、そのようなファイルを送る必要がある場合は、受信側のルールで受信できない場合もあるため、受信の可否を確認する必要があります。
≪重要情報や機密情報を添付ファイルで送らない≫
重要な内容でなくとも、個人名が記載されていれば個人情報になります。添付ファイルにはパスワードを設定したり、暗号化を行うことをお勧めします。
また、出来ればメールで重要情報や機密情報を添付しない方が良いでしょう。
4.迷惑メール
4-1.減らない迷惑メール
迷惑メールとは、広告や嫌がらせなどの目的で不特定多数に大量に送られるメールのことで、スパムメールと呼ばれています。最近では、マルウェア感染や詐欺を目的とするものも多く注意が必要です。
≪迷惑メールによる被害≫
インターネット上に流れているメールの9割以上が迷惑メールであるという統計もあるぐらいに、日々、大量の迷惑メールが配信されています。
迷惑メールによって、以下のような被害が考えられます。
- 対応に時間が取られ、業務が妨げられる
- 大量の迷惑メールに埋もれてしまい、重要なメールを見逃してしまう
- ネットワークの負荷により、遅延が生じたり、メールサーバがダウンしてしまう
- マルウェアが送り込まれ、受信したパソコンがマルウェアに感染してしまう
- 迷惑メールのリンク先などにより、フィッシングやワンクリック不正請求といった詐欺に巻き込まれてしまう
4-2.迷惑メールへの対策
各企業にて行うべき迷惑メールへの主な対策は、以下の通りです。
≪迷惑メールに反応しない≫
迷惑メールに対して返信おこなったり、本文に書かれたURLをクリックしない。
≪興味本位に開かない≫
迷惑メールは、興味本位で開かない。仮に開いてしまっても添付ファイルは絶対に開かない。そして迷惑メールと判断したならば、そのまま削除する。
≪迷惑メールの数を減らす≫
プロバイダやセキュリティサービス事業者のブロックサービスを利用したり、ウイルス対策ソフトの導入やメールソフトの迷惑メール対策機能の利用により、受信する迷惑メールの数を減らす。
5.標的型攻撃メール
5-1.増加する標的型攻撃メールによる被害
近年、不特定多数ではなく、特定の組織や個人を狙い情報窃取等を行う攻撃が多くなっています。これらは標的型攻撃と呼ばれます。
標的型攻撃は、電話でパスワードを聞きだしたり、キーボード操作を盗み見たり、ゴミ箱をあさったりするソーシャルエンジニアリングの手口を使い、予め、おおよその情報を入手され行われるため、だまされやすいので注意が必要です。
少しでも不審に思われるメールに対しては、添付ファイルを開いたりリンクをクリックする前に、発信元に問い合わせるなどして受信メールの信頼性を確認するなど、十分な注意をはらう必要があります。
≪標的型攻撃メールによる被害≫
標的型攻撃メールには、組織や個人の機密情報を窃取しようと意図や、組織内のネットワークやシステムの最深部にたどり着くための踏み台を確保しようとする意図や、詐欺に巻き込もうとする意図などがあると考えられます。
標的型攻撃メールの受信により、以下のような被害が考えられます。
- マルウェアが送り込まれ、受信したパソコンがマルウェアに感染することにより、ネットワーク上の外部への接続口を勝手に開いたり、感染したパソコン内の情報を収集し外部に送信したり、感染したパソコンが組織内のネットワークやシステムの最深部にたどり着くための踏み台とされ、重要な機密情報を奪う足がかりとされる。
- 標的型攻撃メールのリンク先のURLによって、マルウェアに感染させられたり、フィッシングやワンクリック不正請求等の詐欺に巻き込まれたりしてしまう。
- 攻撃を受けたパソコン内部の情報が、宛先・差出人・件名・本文・署名等への利用され、次の標的型攻撃メールによる攻撃を成功させるための情報として悪用される。
- サーバが乗っ取られ、機密情報や重要情報が繰り返し盗み出される。また、窃取された情報は、次のターゲットに侵入するための情報とされる
5-2.標的型攻撃メールへの対策
標的型攻撃メールへの主な対策は、以下の通りです。前述した迷惑メール対策に加えて、特に人的な対策を強化する必要があります。
≪標的型攻撃メールを開かない≫
件名や内容が不自然なメールは開封しない。開封する際は、送信者に対してメール送信の事実があるかを確認する。
≪標的型攻撃メールを開かせない≫
利用者に対する教育を実施し、標的型攻撃メールの見分け方を訓練する。
標的型攻撃メールらしきメールを受信した場合は、システム管理者に報告させ、標的型であることが確認されたら、組織内への注意喚起を徹底する。
≪メールを開いた後で標的型攻撃と気づいた場合の対応≫
ウイルス対策ソフトでは検出できないマルウェアが仕組まれているケースも多いので、添付ファイルは絶対に開かない。また、本文に書かれたリンクをクリックしない。
そして、システム管理者に対して標的型攻撃メールを受信したこと、メールに関して行なった操作を報告し、システム管理者の指示に従ってメールを処理する。
※ 参考・引用転載について
ここに記載の記事は、NPO 日本ネットワークセキュリティ協会殿のWEBサイト「中小企業情報セキュリティ対策促進事業サイト」を参考にしています。また、画像は引用転載させて頂いております。