2020年4月22日

株式会社Doctor Web Pacific

電子メールは、個人用途、ビジネス用途ともに重要なメッセージツールとなりました。その一方で、ランサムウェアやバンキングマルウェア、フィッシング、標的型攻撃、BEC (ビジネスメール詐欺) などなど、サイバー攻撃に最も悪用されるツールにもなっています。いっそのこと、メールを使わないようにすれば、こうした脅威から身を守れるのでしょうか。ここではメールを使わない方法について考えてみたいと思います。

新型コロナウイルスも攻撃に悪用するサイバー犯罪者

パソコンとともにメールが急激に普及し、現在では個人、ビジネスともにメッセージツールとして一般的になっています。一方で、メールはさまざまなサイバー攻撃の最初のアクションとして悪用されています。今や、ほとんどのサイバー攻撃がメールを介して行われており、メールの添付ファイルや、メール本文に記載されたURLリンクのクリックでマルウェアに感染させたり、標的型攻撃では企業などへの侵入の足がかりにされたりします。

また、思い込みや勘違いといった「人の脆弱性」を悪用するフィッシングメールも急増しており、さまざまなサービスのログイン情報が盗まれ、二次的、三次的な被害が発生しています。特に最近では、世界的に深刻な影響が拡大している「新型コロナウイルス」 (COVID-19) の情報を悪用するフィッシングメールも増加しています。新型コロナウイルスに関連する重要な情報として不正なWebサイトに誘導したり、特定のサービスを模したフィッシングサイトに誘導してログイン情報を盗み出そうとしたりします。

アメリカでは、新型コロナウイルスを題材にした新たなフィッシング攻撃も確認されています。これは正規の病院を騙ったメールで、接触した可能性のある同僚や友人、家族などに感染者が確認されたとして、添付されたExcelファイルに必要事項を記入して病院へ来るよう指示する内容となっています。このExcelファイルにはマルウェアが仕込まれていて、マクロを有効にすることで感染します。そしてExcelファイルに記入する際には、マクロを有効にするよう指示されるわけです。フィッシングとマルウェアを組み合わせた攻撃は珍しく、今後は増加していく可能性があります。

メールを代替することはできるのか

ほとんどのサイバー攻撃がメールを介しているということは、メールを使用しなければほとんどのサイバー攻撃を防げるということになります。では、メールを使わないようにすることは可能でしょうか。個人の場合は、「LINE」や「Skype」、「メッセンジャー」といったSNSに移行することは可能でしょう。もはや最近の若年層はSNSがメインになっており、メールはほとんど使わないと聞きます。サービスの登録やプレゼントの応募の際にはメールアドレスの入力が求められますので、メールをそういった用途に限定し、セキュリティ対策ソフトなど適切な対策を行うことで、かなりの割合でメールからの脅威を防ぐことができるでしょう。

では、ビジネス用途ではどうでしょう。社内の連絡に限れば、従来のグループウェアやメッセンジャーサービス、ビジネス向けチャットなどを活用することで、メールの使用を抑えることができます。例えば、「Slack」や「Skype」をはじめとするビジネス向けチャットであれば、グループを自由に作成できるので、部署やプロジェクト単位でグループを作成することで安全なメッセージ交換を行うことができます。これにより、BECによる被害もかなりの割合で防止することができるでしょう。

社外との連絡、例えば親会社や委託先、あるいは取引先とのやり取りにおいても、ビジネス向けチャットでカバーできる可能性があります。それぞれ専用のグループを作成し、そこに招待することで、メッセージはもちろんファイルのやり取りを行うこともできます。メールでは添付ファイルの容量制限が厳しいケースも多いので、業務用のファイルの共有などにも活用できます。さらに、音声やカメラ映像による通話機能もあるので、テレビ会議やテレワークにも活用できます。

代替策でもセキュリティ対策は必須

このように、ビジネスにおける社内外の連絡は、グループウェアやメッセンジャーサービス、ビジネス向けチャットなどをメールに置き換えることが可能であるといえます。最近では問い合わせに対応するチャットボットサービスもあるので、ユーザーなどからの問い合わせの問題も解決できそうです。残るは面識のない人からの連絡です。例えば、名刺交換した相手にビジネス要件で連絡する場合や、新たな取引先を発掘する際のメールによる営業、業界団体や自治体、政府などからの公報などが挙げられます。

ビジネス向けの連絡・情報共有サービスには、不特定多数の第三者に対する窓口は用意されていないことが一般的です。現実的な対応としては、専用のメールアドレスを窓口として設定し、そこだけはメールを使用する方法です。ただし、マルウェアメールやフィッシングメールが届く可能性もあるので、セキュリティ対策ソフトなどのシステム的な対策はもちろん、対応するスタッフにセキュリティ教育を実施し、リテラシーを向上させておく必要があるでしょう。

こうした対応により、実質的にメールから脱却することは可能であると考えられます。ただし、注意しなければならないのは「サイバー犯罪者はユーザーの多いサービスやシステムを狙う」ということです。サイバー犯罪者にとっては、ひとつの攻撃でより多くのユーザーに影響を与えた方が効率的だからです。グループウェアは現在でも脆弱性を悪用する攻撃が確認されていますし、SNSベースのビジネス向けチャットでは、「お友達」登録により書き込みやメッセージ送信の権限を得ることで悪さを働くケースも確認されています。

メールからビジネス向けの連絡・情報共有サービスに移行する場合には、ユーザー管理を徹底するとともに、ログインの際にはIDとパスワードだけでなくワンタイムパスワードなども併用する「多要素認証」を導入すべきでしょう。特に、指紋や顔、虹彩、手のひらの静脈などを利用する「生体認証」の併用が効果的といえます。もちろん、セキュリティ対策ソフトの導入も必須です。

執筆者：吉澤 亨史 (ヨシザワ コウジ)
元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。サイバーセキュリティを中心に、IT全般、自動車など幅広い分野でニュース記事、取材記事、導入事例、ホワイトペーパー、オウンドメディアなどの執筆活動を行っている。直近では、JSSEC (日本スマートフォンセキュリティ協会)の「IoTセキュリティチェックシート第二版」の制作に参画、解説版を執筆。
愛猫「りく」は、サイバーセキュリティ情報サイト「ScanNetSecurity」で名誉編集長を務めています。