メールやSMS起因の事件・トラブルは増加傾向に

メールやSMS（ショートメッセージサービス）を起因とした事件・トラブルは増加傾向にあります。独立行政法人日本情報処理推進機構（ＩＰＡ）「情報セキュリティ10大脅威2023」では、個人編においては6つ、組織編においては4つがメールやSMSを攻撃手口・起因とするものとしてランクインしました。また、警察庁の調査「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によりますと、インターネットバンキングに係る不正送金事件については、2020年以降、発生件数、被害額ともに減少傾向が続いていましたが、2022年下半期に急増し、その被害の多くがフィッシングによるものとみられています。

コロナ禍を乗り越え、多様な働き方や効率的な業務フローが浸透しつつある現代において、メール（以下、SMSを含む）はビジネスや個人間のコミュニケーションに不可欠なツールです。メールには、機密情報、金融情報、個人情報、業務上の秘密など、多くの重要な情報を含んでいることがあり、メールに対する不正アクセスや情報漏えいは、業務上の損失や個人情報の漏洩など、深刻な経済的、社会的影響をもたらすことがあります。また、メールはフィッシング、スパムメール発信、マルウェア感染などのサイバー攻撃の手段としても利用されることがあり、これらの攻撃によって、個人や企業の機密情報や資産が危険にさらされることがあるのは「情報セキュリティ10大脅威2023」で示されているとおりです。

事件・トラブル（＝サイバー攻撃）増加の背景、要因

メールを手口とするサイバー攻撃の大半において「なりすまし」が行われています。すなわち、実在する人物になりすましてメールを送りつけ、何度かメールのやり取りを行うことで信用させた後に攻撃を実行するケースが多くみられます。「なりすまし攻撃（Spoofing）」は、決して新しい攻撃手法ではなく古くからあるものですが、なぜ増加傾向にあるのか考察します。

（理由１）攻撃技術の進歩
メールヘッダーを偽装することで、あたかも実際とは異なる送信者によるメールであるかのようにみせかけるのはもはや常套手段となっています。近年の攻撃メールでは、メールヘッダーだけでなくメール本文も巧妙に作り込まれています。これまで日本語は「特殊かつ難解な言語」のために、攻撃グループのターゲットとなる優先順位は決して高くありませんでしたが、自動生成ＡＩの普及により「言語の壁」はなくなりつつあります。

（理由２）メールは盗聴されている
　メールクライアント方式では、標準では暗号化の機能を備えていないため、メールそのものやその通信経路に「鍵をかける（暗号化）」する必要があります。攻撃者は暗号化対応していないメール通信を盗聴し、前述の「巧妙なメール本文」を作成するための情報を収集しています。日本企業においては、後述の「PPAP」方式が広く普及しているためにメールそのものの暗号化は進んでいないとみられています。

（理由３）働き方の多様性と利便性が仇に
　テレワークやオンラインショッピングが増えたことでメールの使用頻度が高まり、これに伴ってメールを使ったサイバー攻撃が増加しています。従業員自宅のネットワークセキュリティは企業のネットワークセキュリティと比べて脆弱であることが多く、また、すぐそばに相談できる人間がいないことも攻撃成功の確率を高めている要因といえます。
　日本国内では、金融機関を装ったフィッシングメールが圧倒的に多いですが、近年では、宅配業者の不在通知や通信事業者の料金支払い確認を装ったSMSや、政府になりすまして新型コロナウイルスに関する情報提供と称したメールを発信し、フィッシングサイトに誘導する手口が多くみられます。また、経営者や財務担当役員になりすまして従業員に攻撃者が用意した口座へ資金を振り込ませたり、取引実績のある企業の担当者になりすまして偽の請求書を送りつけて金銭を振込させるビジネスメール詐欺が増えているのは、上記の働き方の多様性の広がりと無関係ではないでしょう。

（理由４）日本独自のメール文化
　日本企業においては、添付ファイル付きのメールをやり取りする際、「PPAP」と呼ばれる手順が広く用いられています。PPAPとは、パスワード（Password）付きファイルの送付、パスワード（Password）の送付、暗号化（Angouka）、プロトコル（Protocol）の頭文字を取って作られた造語です。この方式は、以下2つの観点からセキュリティ対策として不十分どころか、かえって危険性が増します。
①同じ通信経路を辿ってメールを2回送信（1通目：ファイル、2通目：パスワード）するため、1通目のメールが盗聴されてしまえば、パスワードが付された2通目も盗聴可能
②パスワード付きzipファイルの中身は暗号化されるため、マルウェアが仕込まれていたとしてもウイルスチェックを回避してしまい、マルウェアが組織内ネットワークへ侵入・感染してしまう
2020年にマルウェア「Emotet」が流行した際には、パスワード付きzipファイルからの感染を狙い、日本の企業が標的にされました。2020年11月、政府がPPAP廃止の方針を打ち出し、大手企業や先進的なIT企業では脱PPAPが進むも、実態はまだまだPPAP方式でメールやり取りをする企業が多いです。

（理由５）「ヒトの脆弱性」は解消できない
　テレワークをはじめとした場所を問わない多様な働き方の浸透によって、その環境やテレワーク製品の脆弱性だけでなく、人間の心理や行動の脆弱性を突いた攻撃も根強いです。焦りの感情や認知的なバイアス、手順のショートカットやスキップといった軽微な違反を完全に排除することは不可能です。攻撃者はそれを知ったうえで十分な調査・内偵活動を重ね、攻撃プランを計画しています。

安心・安全なメールコミュニケーションに必要な対策

「盗まれない」「なりすましをされない」「メールとは別の手段を使う」「だまされない」観点から、以下にて安心・安全なメールコミュニケーションに必要な対策について解説します。

（１）「盗まれない」対策
攻撃者になりすましをされないよう、自身のアカウントやメールのやり取りを保護する対策としては、以下が挙げられます。

①メールソフトやメールサーバーのアップデートを定期的に行う
セキュリティホールの修正や新しいセキュリティ機能の追加を受けることで、メールアカウントへの攻撃や不正アクセスのリスクを最小限に抑えます。

②メールアカウント認証を強固なものにする
メールアカウントを乗っ取られてなりすましの「踏み台」にされないよう、パスワードは長さが十分にある、大文字小文字や数字、特殊文字が含まれているものを使用したり、二段階認証や多要素認証を導入し、メールアカウントに対するセキュリティレベルを向上させます。

③メールを暗号化する
配信中のメールが盗み見られないよう、通信経路はSSL/TLS方式を使用します。SSL/TLSは該当のサーバーが第三者機関によって安全が保障されていることを認証する仕組みです。
また、通信経路だけでなくメールそのものと添付ファイルを暗号化と電子署名のために使われるプロトコルS/MIME（Secure Multipurpose Internet Mail Extensionsの略）方式も推奨します。盗聴防止だけでなく、送信メールに「電子署名」をすることで、受信者側はその本人から送信されていることが確認でき、また改ざんを検知することができます。

（２）「なりすましをされない」対策
自身がなりすましをされていないことを証明する手段として、「送信ドメイン認証」が有効です。送信ドメイン認証とは、送信元メールサーバーのIPアドレス認証や電子署名の仕組みを利用して、メールがなりすまされているかを判断する仕組みで、大きく以下の３種類があります。

①SPF（Sender Policy Framework）
予め送信元のDNS（ドメインネームシステム）サーバーに正当なSPFレコード（例：Abc＠xxx.comはこのサーバーから発信する）を記述、メール受信者は、メール送信元DNSサーバーにあるSPFレコードを照合してなりすましがないかを確認する仕組みです。ただし、転送されたメール等は、SPFレコードに登録した以外のメールサーバーを経由することから正しく判定できず、メールソフト上で表示される差出人（ヘッダFrom）や本文の詐称はチェックできません。また、送信されてきたメールを認証できないときは、それがなりすましメールなのか技術的な問題で認証できないだけか、受信側では判断ができない点に留意ください。

②DKIM（DomainKeys Identified Mail）
メールにデジタル署名をつけることで、送信者が本当にそのメールを送信したことを確認する仕組みです。SPFと違って転送されてきたメールを誤判定せず、メールの本文やヘッダが改ざんされていないかもチェックできますが、SPFに比べ負担が大きく専門知識が必要です。また、送信されてきたメールを認証できないときは、それがなりすましメールなのか技術的な問題で認証できないだけか、受信側では判断ができない点はSPFと同様です。

③DMARC（Domain-based Message Authentication、Reporting and Conformance）
SPFやDKIMのような送信元認証技術を組み合わせて、偽装メールを検知し、送信元ドメインの偽装を防止する仕組みです。
DMARCは、送信メールの認証失敗時（正当なメールと判断できないとき）に、受信者がそのメールに対してとるべき処理方法を指定しておくことができます。また、メールの処理結果を受信側のメールサーバーから送信側メールサーバーへレポートする機能もあり、送信側は、送信したメールが受信側でどのように処理されたかを把握できます。ただし、導入と運用にはDKIM以上に負担が大きくかかり、専門知識が必要です。

2023年2月1日に経済産業省、警察庁および総務省は、利用者保護の観点から、クレジットカード会社等において適切な対応が取られることが必要として、クレジットカード会社等に対してDMARCの導入をはじめとするフィッシング対策の強化を要請しています。なお、総務省「令和４年度情報通信白書」によると、日本企業（≒JPドメインを利用するもの）における、なりすましメールを防止するための送信ドメイン認証技術の導入状況は、SPFは約67.5％、DMARCは約2.1％と決して高くありません。

（３）「メールとは別の手段を使う」
前述のとおり、大手企業や先進的なIT企業では脱PPAPが進み、以下の手段を用いてファイルの共有やコミュニケーションを行うケースが見られます。いずれもPPAPで指摘されるリスクの低減に向けた配慮がなされていますが、運用にあたっては追加のコストがかかり、また一定の課題があります。自社と取引先で取り扱うデータに応じて、セキュリティと利便性の適切なバランスの取れた手段を選択する必要があります。

（４）「だまされない」対策
これまで述べた対策を実施したとしても、不審なメールが一切届かなくなることはなく、ICT機器を利用するすべての者に対する適切な教育と注意喚起が欠かせません。不審なメールに気付くポイント（タイトル、送信者アドレス、メール本文の言い回し、添付ファイルの内容など）を習得することは最低限必要であり、万が一不審なメールを開封した際に、迅速かつ適切な対応ができるよう、初動対応の手順を役職員が習得することも必要です。受動的な教育・研修だけでなく、想定されるインシデント発生局面に応じたシナリオを用いた訓練の実施も有効です。訓練は、参加者の習熟度、訓練実施の目的に応じたプログラムを企画することが肝要です。


MS&ADインターリスク総研株式会社発行のサイバーセキュリティニュース2023年4月（No.3）を基に作成したものです。