　メールセキュリティツールを使えば、スパムメールの受信をある程度は抑制できるものの、一定数は届いてしまう。スパムメールには、フィッシングメール（実在する組織を装うなどして機密情報を盗み出すためのメール）の他、悪意のあるリンクや添付ファイルを開くようエンドユーザーに促すスピアフィッシング、企業幹部を狙うホエーリング攻撃など、巧妙化した手法が含まれている。不審なメールは「開かない」「返信しない」「URLをクリックしない」「添付ファイルを開かない」ことが重要だ。

　企業では、従業員が不審なメールかどうかを識別したり、不適切なURLのクリックや添付ファイルの開封を避けたりできるよう、セキュリティ分野の研修にフィッシング対策を含めることが一般的になっている。

7．添付ファイルに警戒する

　メールを使ったサイバー攻撃は、不正なソースコードを埋め込んだ添付ファイルの送受信をトリガーに利用する傾向がある。メールセキュリティゲートウェイやアンチマルウェアソフトウェアを使えば、悪意のある送信元を検出したり、不審な添付ファイルをブロックしたりできる。ただし、信頼できる送信元を攻撃者が乗っ取り、添付ファイルを送る場合がある。

　メールをスキャンするソフトウェアや、マルウェアをブロックするソフトウェアを使用していても、添付ファイルに警戒する必要がある。特に、実行ファイルの「.exe」やJavaの開発で利用するファイルをまとめたファイルの「.jar」、MicrosoftのOS「Windows」用のソフトウェアインストーラー「Windows Installer」の「.msi」など、実行可能なファイルに関連する拡張子の添付ファイルを開く際は細心の注意が必要だ。

　Wordファイルやスプレッドシート、PDFファイルに悪意のあるソースコードが含まれている場合もあるため、さまざまな種類の添付ファイルに注意する。アンチマルウェア用のソフトウェアを使って添付ファイルをスキャンしたり、添付ファイルを開封したりしないようにするのが有効だ。

8．URLをクリックしない

　メールに記載されているURLをクリックした際に、表示とは異なるドメインにリダイレクト（別のURLに転送）されることがある。例えば、www.amazon.comのような認知度の高いドメイン名をクリックしたはずが、悪意のある別のドメインに誘導される場合がある。

　URLに問題がないかどうかを確認する場合は、マウスポインタをURL上に置いて、正しいリンク先が表示されていることを確認する。ただし、この情報が偽装されている場合もある。メールセキュリティソフトを使えばこうした偽装を検出できる可能性があるが、不審に思った場合はURLをクリックせず、Webブラウザで直接ドメインを入力することを推奨する。

9．業務用と個人用のメールを使い分ける

　従業員が、業務用のメールアカウントを個人的な目的で利用する場合がある。しかし、業務用のメールアカウントに個人的なメールを混在させた場合、悪意のあるURLや添付ファイルを開くよう誘導するメールを受信する恐れがある。そのため、業務用のメールで個人のメールを送受信することを企業として禁止するのも一つの手だ。

　その場合、企業のメールポリシーに、業務用のメールアカウントを使って許容される行為と制限される行為を明示しておく。

10．承認した業務用の端末でのみメールを閲覧できるようにする

　私用の端末からメールを閲覧できるのは従業員にとって便利な一方、企業にとってはセキュリティ上のリスクとなり得る。適切なセキュリティ対策を実施していない端末でフィッシングメールを開いた場合、攻撃者が端末から認証情報や機密情報を盗み取る恐れがあるためだ。従業員には、企業が承認した端末からメールにアクセスするよう徹底すべきだ。

　次回も引き続き、メールセキュリティを向上させるための取り組みを紹介する。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

TechTargetジャパントップセキュリティ