新型コロナウイルス対策として、多くの企業でテレワークが推進されています。一般的にテレワークは、自宅からの勤務が想定されているため、上司や同僚などと直接対面しない「非対面」でのコミュニケーションが主となります。このため、迷惑メールや詐欺メール、フィッシングメールによる攻撃の増加が懸念されています。以下では、メールを利用した攻撃に関する直近の動向と対策、そして電子証明書を利用したセキュリティ強化についてお伝えします。
毎日6万件の「新型コロナウイルス」フィッシングメール
マイクロソフトが2020年9月に公開した「Digital Defense Report」では、新型コロナウイルス関連の注意喚起を模したフィッシングメールが毎日6万通も送信され、メールにはウイルスを含む添付ファイルや、不審なURLリンクが含まれていることが確認されています。対面のコミュニケーションができる状況であれば、すぐに周囲の人に声をかけて、メールが不審なものかどうかをその場で確認することができるかもしれません。しかし、新型コロナウイルス下でのテレワークにより、対面でのちょっとした口頭でのやりとりができない状況で、確認を躊躇してしまい、自身の判断でフィッシングメールを誤って開いてしまうリスクの増加が懸念されます。フィッシングメールの種類も多様化しており、2020年6月までの段階で79種類のメールのパターンが確認されており、状況によりメール内容が日々進化していることが推察できます。
BECは1年で被害額が40%以上に急増
先ほどの「Digital Defense Report」では、特に注意すべき脅威として冒頭に「フィッシング」と並んで「ビジネスメール詐欺 (BEC)」があげられています。BECとは、会社などの組織におけるトップや経営陣、または送金権限がある経理部門担当者を主なターゲットとして送られるメールで、「取引先に対する正当な支払い(振込)」を模して不正送金させる詐欺です。
BECの手法は、ウイルスを無作為に何万通、何十万通とメールで送信してターゲットを探すランサムウェアと大きく異なります。BECはターゲットとなる組織を注意深く選定し、アカウントのハッキングなどを通じて内部、またはターゲットの取引先企業の情報を取得、そして「企業トップや決裁者が出張で不在」など、すぐに確認が取れないタイミングなどを狙い「巨額の不正送金」を成功させます。
ターゲットを絞り、時間をかけて入念な攻撃を仕掛けてくるため、BECの被害額はランサムウェアとは桁違いです。例えば、ニューヨーク証券取引所に上場するUbiquiti Networks社は、2015年に4,670万ドル (49億円相当) をBECにより不正に送金してしまう被害がありました。また、オーストリアの航空部品企業であるFACCは、2016年に4,200万ユーロ (52億円) をBECにより不正送金してしまった結果、当時のCEOとCFOが責任を追及され、結果として解雇されています。こうした巨額の資金を狙うBECは年々増加しています。アメリカ連邦捜査局 (FBI) の報告によると、2019年に米国内で報告されたBECとEメールアカウントハッキングの件数は23,775件に上り、これによる被害額は17億ドル (1,790億円相当) に達しています。2018年の被害額は12億ドル (1,260億円相当) であったため、わずか1年で被害額が40%以上も増加している計算になります。
理解しておくべきメールセキュリティ
金銭や情報を狙うメール攻撃に対して、どのように対処すればよいでしょうか。大切なのは、「各自が注意すること」と、対策を現場の従業員任せにすることではなく、情報システム部門が組織として「複合的なメールセキュリティ対策を行う」ことです。
インターネットの円滑な運営を目的として、IPアドレスの管理などを行う日本ネットワークインフォメーションセンター (JPNIC)では、「電子メールにおけるセキュリティ技術とセキュリティ・ニーズ」として、以下各カテゴリに対するセキュリティをあげています。
(1)送受信プロトコル
メールを送ってから、メールを受信するまでの間にメールが他社に盗聴されないようにするために注意すべきポイントです。具体的には、メール送受信時に用いるプロトコルとセキュリティについて、3つのポイントを考える必要があります。
- (A)クライアント(パソコン、スマホなど)から送信したメールが、メール送信サーバに到達するまでのセキュリティ
- (B)メール送信サーバ、メール転送サーバ、メール受信サーバ間のセキュリティ
- (C)メール受信サーバから、メールがクライアントに到達するまでのセキュリティ
上記の3つのポイント全てにおいて、メールの盗聴を防ぐために通信が暗号化されていることが望ましいです。
(2)ドメイン名
メールがどの組織のアドレスから送られたかは、メールの信用力に大きく影響します。例えば、有名企業のアドレスから送られたメールと、全く知らない組織のアドレスから送られたメールでは、多くの人が前者のほうが安全だと判断します。
そのためウイルス付きの添付ファイルを開封させたり、情報を詐取するためのリンクをクリックさせたい攻撃者は、「信頼できる組織」を偽装したメールを送信し、受信者に何とかメールを開かせようとします。
不審なメールの受信を防ぐため、多くの組織やメールサービスでは、「送信元のIPアドレスが正しいかどうか」を確認し、もし一致しない場合はメールを受信しないという処理を行っています。
(3)メールメッセージ
AさんがBさんに対してメールを送った場合、「メールが盗聴される」リスクに加えて、「メールが改ざんされる」リスクもあります。例えば、Aさんが「製品を100台発注します」とBさんにメールした場合、攻撃者がメールの数字を改ざんして「1,000台発注します」としてしまった場合、双方が大混乱してしまいます。これを防ぐための方法として、認証局が発効するメール用の電子証明書があります。電子証明書を利用することで「Aさん本人がBさんにメールを送り、その内容が改ざんされていないこと」を証明することができます。
メール用の電子証明書で迷惑メール・BECを防ぐ
メールセキュリティを高めるうえで必要性が増している技術として、電子証明書を利用したメールの暗号化方式であるS/MIME (Secure / Multipurpose Internet Mail Extensions) があります。 S/MIME には大きく2つの役割があります。1つは「メールの盗聴を防ぐ(メールを暗号化する)」ことです。暗号化して送ることで、ビジネスなどにおいて機密性が高いメールをやり取りする際に、メール自体が競合企業や攻撃者に盗聴され、機密が漏えいしてしまうことを防ぎます。もう1つは「メールのなりすまし、改ざんを防ぐ(メールに電子署名を行う)」ことです。電子署名をつけることで、メールに本人が送っているという認証バッジがつけられます。メール送信時の内容が、受信者が開くまでに変更された場合は警告が表示されます。
ビジネスEメール詐欺 (BEC) は、「巨額の不正送金」という攻撃者の目的が達成されるために、攻撃者は組織に対してあらゆる角度から攻撃を繰り返します。一つ一つは情報の断片であっても、それらをつなぎ合わせることで「不正送金の成功率」が徐々に上がっていきます。BECを防ぐために重要なのは、どのようなメールであっても盗聴されない、改ざんされないために「組織としての対策」を怠らないことです。人による注意だけでなく、電子証明書による対策でメール詐欺に騙されない仕組みの構築が今後重要となります。
関連リンク