メールの脅威へ対抗するために必要な「3つのポイント」とその対処法

2023年9月配信（2023年10月31日公開） Column

サイバー攻撃ではメールが主要な手段として使われ、ウイルス感染、情報漏洩、身代金要求といった被害が増えています。そのため、メールセキュリティの向上は不可欠です。GSXは、この問題に対応するため、ホワイトハッカーであり、株式会社トライコーダの代表取締役、さらにOWASP Japanの代表である上野宣氏を招き、メールセキュリティ対策のウェビナーを開催しました。この記事では、ウェビナーで話された3つの主要なポイントと、GSXの関連する取り組みを紹介します。

1. メール脅威へ対抗する3つのポイント

株式会社トライコーダ代表取締役の上野氏は、2006年に同社を設立し、ペネトレーションテストやトレーニングを手掛るほか、OWASP Japan代表や一般社団法人セキュリティ・キャンプ協議会GMなど、複数の役職を歴任しています。情報セキュリティにおける賞を受賞し、『Webセキュリティ担当者のための脆弱性診断スタートガイド』や『HTTPの教科書』などの著書もあるサイバーセキュリティの専門家です。

上野氏はメールの脅威に対抗するためには「悪意あるメールを利用者に届かなくする」「悪意あるメールを利用者が読まないようにする」「悪意あるメールを読んだ利用者が、フィッシングサイトの閲覧や、添付ファイルを開かないようにする」の3つのポイントがあることを示しました。

1-1. 上野氏が展開するペネトレーションテストからわかったメール脅威

上野氏が実施しているペネトレーションテストは、組織のセキュリティ対策が正しく機能しているかを検証するものです。このテストでは、攻撃者と同様の手法を用いて、企業のネットワークやクラウドへの侵入を試みます。特に、従業員宛のメールを利用した攻撃において成功率が高い傾向があるといいます。

クラウドサービスへの侵入方法としては、サービスの脆弱性や設定ミスを利用すること、利用者のIDやパスワードの推測などが挙げられます。しかし、これらの方法は必ずしも成功するわけではないため、従業員宛のメール攻撃や、フィッシングサイトを使った従業員への攻撃が主流となっているようです。このように、メールは個人への情報伝達手段として有効であるため、攻撃対象として多用されているのです。

1-2. 悪意あるメールを利用者に届かなくするには

メールの安全性を高めるため、多くの企業はMicrosoft365やGoogleのクラウドメールサービスとそのセキュリティ機能を利用する傾向が増えてきました。しかし、自社でメールサーバーを運用している組織もまだあり、上野氏は注意点として、POPやSMTPプロトコルをTLS(SSL/TLS)対応させることや、SMTP認証、ドメインの詐称防止のためのSPF、DKIM、DMARCなどの技術の導入が必要だと言います。また、メール内容の保護には、暗号化や電子署名のS/MIMEやPGPが考えられます。さらに、メールサーバー自体のセキュリティ強化やネットワーク層での保護が必要だと指摘しました。

1-3. 悪意あるメールを利用者が読まないようにする

悪意のあるメールからの保護は、悪意のある添付ファイルやURLが利用者に届かないようにゲートウェイ型のセキュリティ対策を講じるか、Microsoft365やGmail（Googleワークスペース）などのセキュリティレベルが高いクラウドメールサービスを利用します。いずれも、受信サーバーに到達する前にフィッシングメールやマルウェア、スパムなどを検知してブロックする機能を備えています。

上野氏は、ペネトレーションテストの経験から「メールゲートウェイに特定のセキュリティ製品が組み込まれている会社のサーバーや、クラウドメールサービスへのマルウェア付きのメール送信は非常に難しいです。多くの場合、それらのセキュリティ機能によってメールがブロックされ、従業員のメールボックスには届きません。このような対策は、外部からの攻撃を防ぐ上で非常に効果的です」と語りました。

注意点は、ログをチェックしない限り、どれだけの攻撃が阻止されたのかがわかりにくいことですが、実際に多くの攻撃が事前に遮断されているようになっています。これらの対策を導入することは重要です。

1-4. 利用者がフィッシングサイトの閲覧や、添付ファイルを開かないようにする

悪意あるメールを利用者が読まないための技術的な対策も、100％ではありません。悪意あるメールが届いてしまうと、脅威のある添付ファイルやURLを利用者が100%見分けることも難しいです。そこで、不審なメールに気づく感度を向上させる訓練が有効です。

上野氏は「この訓練は、従業員の識別能力を向上させるだけでなく、どのように対応するべきかを明確にするためのものです。また、重要なのは企業文化です。もし従業員が間違ってメールを開いてしまっても怒られては報告しづらいです。報告を挙げる人が褒められるような文化にしておかないとなかなか報告はされないでしょう。間違いを認めて共に学べるような環境を作ることが必要です」と説明しました。

利用者が悪意あるメールを開いてもなるべく安全であるような対策も重要です。悪意あるファイルに対してはアンチウイルスソフトを用いて、不正なプログラムの侵入や感染を予防します。しかし、マルウェアがアンチウイルスソフトを通過することも考えられます。そのため、EDRを使用して、マルウェアの不審な行動を検知・阻止する必要があります。これにより、重要な情報が悪意ある者の手に渡る前に問題を発見できます。

悪意のあるWebサイトへのアクセスを阻止することも大切です。例えば、フィッシングサイトへのアクセスや感染したマルウェアを悪用する攻撃サーバーとの通信を遮断することが挙げられます。現在、様々な製品が存在していますが、上野氏は「クラウド型のProxyやCASB（Cloud Access Security Broker）、総じてSASE（Secure Access Service Edge）などと呼ばれるもの、また特定のサイトにしかアクセスができないホワイトリスト型のProxyもおすすめです」とコメントしました。

1-5. メールによる脅威に対抗するステップ

上野氏はメール経由のサイバー攻撃の対策には、4つのステップがあるとして紹介しました。

まず1つ目のステップは、技術的対策。つまり、攻撃を自動で検知し、阻止することが理想です。これは、端末やサーバーの設定、さらには製品やサービスの導入により強化できます。しかし、技術だけで対応できない場面も考えられ、そこで人間の判断や運用が重要になります。

2つ目は、インシデント対応力の強化です。検知遮断を行う監視や、何か不審なことがあれば必ず報告する文化の醸成が挙げられます。上野氏が関与する組織では、SlackやTeamsなどのコラボレーションツールを使って気軽に報告できるようにしています。

3つ目は、認知能力や知識・経験の向上。継続的な訓練を指します。一度の標的型メール訓練だけでは十分ではなく、定期的な訓練が必要です。たとえそれが訓練だと気付いていても、常に警戒心を持って取り組むことが重要なのです。メールを開く前の確認手段の確立です。例えば、メールの添付ファイルを開く際の手順や、疑わしいメールがあった場合に管理者への確認などが必要です。

4つ目は、追加の有効策です。ルールの周知徹底をはじめ、その他の教育や、特にクラウドを使用している場合のモニタリングの強化、そして個別のメールクライアントソフトに対する技術的な制限なども考慮する必要があります。

上野氏は最後に「これら4つのステップをバランス良く実施することで、メール経由の攻撃に対する有効な対策が実現されます。どれか一つが欠けても、対策が完全とは言えないため、各ステップをしっかりと踏んでいただきたいと私は考えています」とコメントしました。

2. メールセキュリティを強化するGSXのソリューション

メールシステムの運用者は、攻撃からの防衛策を熟知する必要があります。一方、従業員自体もメールを安全・適正に利用するための知識が不可欠です。ここでは、メールシステム運用者や従業員の教育、メール攻撃の実体験を通したリテラシー向上の方法、そして実践的な防御ツールといった、GSXが提供するソリューションの一部をご紹介します。

2-1. 管理者向け「認定メール安全管理士」

組織でメールの管理・運用やセキュリティ対策を担当している方のための教育コンテンツが、セキュリスト（SecuriST）®シリーズ「認定メール安全管理士」のトレーニングサービスです。このトレーニングで学べる内容は多岐にわたり、メールが到達する仕組みやメールメッセージを安全にする方法、悪意ある添付ファイルやURLから守る方法、ビジネスメール詐欺やフィッシング対策、機密情報の持ち出しリスクへの対処、そして情報漏えいリスクとその対応策などを網羅しています。3時間の研修はZoomを利用したオンライン形式で行われ、参加者には学習テキストが提供されます。さらに、認定試験は1回受験でき、受験地は全国300箇所の中から自由に選択可能です。

認定メール安全管理士の取得によって、組織全体のセキュリティ体制を確立することや企業の信頼性やブランドイメージを高めること、そして法的規制の遵守によるリスクの低減が期待できます。

セキュリスト（SecuriST）® - 認定メール安全管理士

https://www.gsx.co.jp/services/securitylearning/securist/CertifiedEmailSafetyManager.html

2-2. 全従業員向け「メール安全利用検定」

悪意のあるメールを読んだ利用者がフィッシングサイトの閲覧や悪意ある添付ファイルを開かないようにする、全従業員向けのEラーニングコンテンツがセキュリスト（SecuriST）®「メール安全利用検定」です。攻撃の傾向、メール経由のサイバー攻撃やソーシャルエンジニアリングの手口、被害を大きくしない方法についてなどを理解することができます。Eラーニングですので、Webブラウザを使ってインターネット経由で受講ができます。受講後には確認テストがあり、全問正解することで修了となります。

この検定を通じて、従業員のセキュリティ意識が高まり、リスクを回避するスキルやメール関連のトラブルに迅速に対応する能力が身につきます。これにより、組織の情報セキュリティが強化されます。

セキュリスト（SecuriST）® - メール安全利用検定

https://www.gsx.co.jp/services/securitylearning/securist/EmailSafetyTest.html

2-3. 標的型メール訓練「トラップメール」

GSXの「トラップメール」は、標的型攻撃メールのリアルな模倣である「訓練メール」を従業員に送り、攻撃への対処を体験してもらうことで学習を促すサービスです。従業員がメールのリンクや添付を開封すると、即座に教育的なコンテンツが表示され、正しいメール対応の方法を示唆します。その開封行動はログとしてGSXのサーバーに保存され、後ほど訓練の効果を評価するために使用されます。

GSXが完全に独自開発したこのシステムは、訓練メールのさまざまな側面をカスタマイズできるため、特定のニーズに合わせて調整することが可能です。さらに、実施実績を基にしたテンプレートも用意しており、顧客からの情報提供をもとに、GSXが訓練メールの送信をサポートします。

この訓練を通じて、従業員はメール攻撃の手口を学び、不審なメールへの適切な対応や報告の重要性を理解することができます。結果として、組織のセキュリティ意識が向上し、サイバー攻撃のリスクを大きく減少させることが期待されます。

トラップメール - 標的型攻撃メール訓練サービス

https://www.gsx.co.jp/services/securitylearning/trapmail.html

2-4. Cloudflare Area1を利用した「フィッシングリスクアセスメント」

GSXでは、教育コンテンツだけでなく、悪意あるメールが届かないようにする、クラウド型のメールセキュリティソリューションも用意しています。確かに、Microsoft365やGoogleワークスペースのようなメールサービスは、先進的なセキュリティ機能を有しており、多くの脅威をフィルタリングしています。しかしながら、標的型メールやビジネスメール詐欺といった特定の脅威の除去は難易度が高いとされています。このような課題に対処するための一つの解決策として、GSXは「Cloudflare Area 1メールセキュリティ」を推奨しています。

Cloudflareは、コンテンツデリバリーネットワーク（CDN）やDoS対策などインターネットセキュリティのサービスを提供する企業です。同社は世界的なCDN提供事業者のため、高い情報収集力を持っています。Area 1メールセキュリティは、攻撃前であってもフィッシングサイトができた瞬間にブロック対象にすることができます。さらに、メール自体をヘッダーからボディーまでつぶさに確認し、ビジネスメール詐欺の疑いを判断します。万が一、不審なリンクをクリックしたとしても、ユーザーのブラウザから分離された環境で素早く実行するため、不審なファイルの受信や機密情報の漏えいリスクを低減できます。

GSXでは、Cloudflare Area1を利用したフィッシングリスクアセスメントを提供しています。これは、お客様のご利用中のメール環境に接続し、現在の脅威状況を製品の検証を実施するためのレポートを作成する無償のPoCです。Microsoft365やGoogleワークスペースなど、ご利用のメール環境とCloudflare Area1をAPI連携して行うため、普段のメール通信に影響を与えることなく検証およびアセスメントが可能です。

Cloudflare Area1（サービス詳細については以下のフォームからお問い合わせください）
https://www.gsx.co.jp/inquiry

3. まとめ（GSXサービスの紹介）

現代のビジネス環境でのメールの脅威は、日常のリスクとして高まっております。その対策として、悪意あるメールの受信を防ぐこと、もし受信した場合には従業員がそのメールを開かないようにすること、さらにメールを開封した場合でもフィッシングサイトへのアクセスや添付ファイルの開封を避けることが必要です。このような課題に取り組むため、GSXでは管理者向けや従業員向けのトレーニングコンテンツや防御ソリューションを充実させております。今回のウェビナーではご紹介できていないサービスも多数ございますので、ぜひとも、組織のセキュリティ強化の一環としてご活用ください。