Eメールセキュリティの重要性

2024年6月15日

フィッシングやEメール詐欺などのソーシャルアクションは、96%の確率でEメール経由で届き、これらのセキュリティ脅威は常に進化している。米連邦捜査局(FBI)のインターネット犯罪苦情センター(Internet Crime Complaint Center)が昨年6月に発表した公共サービス案内によると、ビジネスEメール侵害 (BEC: Business Email Compromise)による損失 (実際の損失と未遂の損失の合計値)が510億ドル近くに上り、企業にとって無視できない金額となっている。2022年5月に発表された前回の推定損失額は430億ドルであったことから、1年で80億ドルの上昇となる。ビジネスEメール侵害による実際の損失だけでも、2022年は27億ドルとなっており、2020年から47%も増加している。ビジネスEメール侵害は、あらゆる規模の組織にとって最大の脅威となっているが、残念なことに、これらのEメール攻撃を特定して阻止できるツールが発表され、そのツールへの移行が行われるまではさらに被害額は拡大することが予想される。

ビジネスEメール侵害は、攻撃者が企業のEメールシステムに不正アクセスし、資金の送金や機密情報の漏洩を誘発させる目的でターゲットにEメールを送信する高度な詐欺で、場合によっては、類似ドメインまたは既知の表示名を使用して、正しい連絡先と通信していると従業員を錯覚させるすソーシャルエンジニアリング戦術によって達成される。比較的簡単に多額の報酬が得られ、攻撃者のリスクが最小限に抑えられるため、サイバー攻撃の手段して多用されている。企業は個人よりも購買力が高く、より多くのデータを保管しているため、企業はサイバー犯罪者の格好の標的となっており、生成AIの普及により、こうした詐欺は増加する一方である。

今までEメールに対するセキュリティは、それほど注目されていなかったと言っても過言ではないと思うが、現在はこれらのセキュリティ脅威からその重要性が注目されている。
Eメールセキュリティベンダーは、クラウドEメールへの大量の顧客の移行、機械学習の急速な導入、システムを接続してデータを共有するためのAPIの広範な使用により、サービスと機能を改善し、革新的なロードマップを策定し、サービスを展開している。その結果、従業員、顧客、パートナーのコミュニケーションとコラボレーションの方法を保護することに関して、顧客にはこれまで以上に多くの選択肢を持つことが可能となっている。多くの場合、これらの顧客は、保護に対する多層的なアプローチから複数のEメールセキュリティパートナーを選択している。実際、Forresterが37社を対象に行ったインタビューによると、単一のエンタープライズEメールセキュリティベンダーを利用しているのは2社のみであった。企業がEメールセキュリティパートナーを選定する際、複数のEメールセキュリティソリューションの強みを柔軟に統合できるソリューションを検討する必要性もある。
例えば、あるソリューションの高度なフィッシングおよびBEC検出機械学習モデルと、別のソリューションのデータ損失防止および暗号化機能を組み合わせて利用するといったケースなどが考えられる。

ところで、FBIインターネット犯罪苦情センターではビジネスEメール侵害への対応策を推奨している。まずはこれらが確実に実施できているか、今一度見直すことも重要と言えるだろう。

  • いかなる状況であっても、個人情報やログイン認証情報をEメールで共有することは避ける
  • 特にモバイルデバイスを使用する場合は、Eメールの送信に使用するEメールアドレスが正当なものであることを確認する
  • 従業員のコンピューターで完全なEメール拡張子を表示できるようにする
  • 金融口座に異常がないか定期的に監視する
  • 個人情報共有:ソーシャルメディアで、ペットの名前、通った学校、家族のリンク、誕生日などの個人情報を共有しない、または制限する。これらの情報は、攻撃者がパスワードを推測したり、セキュリティ質問に答えたりするために利用される可能性がある。
  • 未承諾メールのリンクに注意:アカウント情報を更新したり、確認したりするように求める未承諾のメールやテキストメッセージ内のリンクはクリックせず、メール記載の電話番号は使用せずに自分で会社の電話番号を調べ、その会社に問い合わせ確認することが重要。
  • メールアドレスとURLの確認:攻撃者は微妙な違いを使って受信者の目を欺き、信頼を得ようとするためメールアドレス、URL、スペリングを注意深く確認する。
  • 添付ファイル:知らない人や企業、組織からのメールの添付ファイルは絶対に開かないようにする。また、転送されてきたメールの添付ファイルにも注意が必要。
  • 二要素認証の設定:可能なアカウントにはすべて二要素認証(または多要素認証)を設定し常に有効にしておく。
  • 支払いリクエスト:支払いと購入のリクエストについては、可能であれば対面、または電話で当人に連絡して正当性を確認してください。アカウント番号や支払い手順の変更は、リクエストを行った人に直接確認する。
  • 迅速な行動を求めるリクエストに注意:リクエストを行う人物が迅速な行動を求めている場合は特に注意が必要。