メールセキュリティとは?

メールセキュリティとは、メールベースのサイバー攻撃を防ぎ、メールアカウントを乗っ取りから保護し、メール内容の安全を確保することをいいます。メールセキュリティは多面的で、何層もの保護が必要になる場合があります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • メールセキュリティを定義
  • 一般的なメールベースの攻撃をいくつか記述

記事のリンクをコピーする

メールセキュリティとは?

メールセキュリティとは、メールベースのサイバー攻撃と望ましくない通信を防止するプロセスをいい、受信箱の乗っ取り防止、スプーフィングからのドメイン保護、フィッシング攻撃の阻止、詐欺の防止、マルウェア送信のブロック、スパムのフィルタリング、暗号化によってメール内容を無許可者から保護することなどにわたります。

セキュリティとプライバシーは、メールが発明された当初に組み込まれなかったため、通信手段としてのメールの重要性にもかかわらず、未だにデフォルトでは組み込まれていません。そのためメールは、規模の大小を問わずあらゆる組織にとって、また個人にとっても、主要な攻撃ベクトルになっています。

メールを介して起こる攻撃のタイプは?

一般的なメール攻撃のタイプをいくつか挙げると、

  • 詐欺: メールベースの詐欺攻撃は、一般人を狙う前払金詐欺から、大企業の経理部を騙して不正アカウントへ振り込ませようとする標的型メッセージまで、さまざまな形をとり得ます。攻撃者は通常、ドメインスプーフィングによって、正当な送信元からの送金依頼であるかのように見せかけます。
  • フィッシング: フィッシング攻撃は、被害者が攻撃者に機密情報を送るように仕向けます。メールフィッシング攻撃は、ユーザーを偽のWebページへ誘導して資格情報を収集する場合もあれば、攻撃者が秘密裏に制御するメールアドレスへユーザーが情報を送るよう迫るだけの場合もあります。ドメインスプーフィングはこの手の攻撃でもよく行われます。
  • マルウェア: メールで送られるマルウェアの種類は、スパイウェア、スケアウェア、アドウェア、ランサムウェアなどがあります。攻撃者がメール経由でマルウェアを送る方法はさまざまです。最も一般的なのは、悪意あるコードを含んだファイルをメールに添付するやり方です。
  • アカウント乗っ取り: 攻撃者は、メール内容を監視する、情報を盗む、正当なメールアドレスを使ってその連絡先アドレスへマルウェアやスパムを転送するなど、さまざまな目的のために、メール受信箱を正当なユーザーから乗っ取ります。
  • メール傍受: 攻撃者は、メール中の情報を盗むためにメールを傍受したり、メール送受信の両サイドに対してそれぞれ相手になりすます中間者攻撃をしかけたりします。最も一般的なのは、ネットワークデータパケットをワイアレスローカルエリアネットワーク(LAN)上で監視するという手口です。インターネット上を転送されるメールの傍受は極めて難しいからです。

メールドメインスプーフィング

メールドメインスプーフィングは、攻撃者が正当に見えるアドレスからメッセージを送れるため、いくつかのタイプのメールベース攻撃で重要になります。攻撃者はこのテクニックを使い、偽造した「送信元」アドレスでメールを送信できます。たとえば、ChuckがメールでBobを騙そうとする場合、Chuckは実際は「trustworthy-bank.com」というドメインの所有者でもその銀行の担当者でもないのに、「@trustworthy-bank.com」というドメインからBobにメールを送ることができるのです。

フィッシング攻撃とは?

フィッシングは機密データ(通常はユーザー名、パスワード、その他の重要なアカウント情報)を盗もうとする試みです。フィッシング攻撃者は、パスワードでユーザーのアカウントを乗っ取るなど、盗み出した情報を自分で使うか、販売するかのどちらかです。

フィッシング攻撃者は、自分が確かな筋であるかのように見せかけます。ちょうど釣り人が餌を使うように、攻撃者は魅力的な依頼や一見急を要するような依頼で、被害者が情報を提供するよう誘導します。

フィッシングは通常、メールで行われます。攻撃者は、フィッシングメールの受信者が直接メールで情報を送るように仕向けるか、正当に見えるようデザインされ攻撃者の制御下に置かれたWebサイト(ユーザーがパスワードを入力する偽のログインページなど)へ誘導します。

フィッシングにはいくつかのタイプがあります。

  • スピアフィッシングは、的を絞った攻撃で、信ぴょう性を増すためにしばしばパーソナライズされています。
  • ホエーリングは、組織内で重要な人物や影響力が大きい人物(エグゼクティブなど)を標的にするもので、企業のメールセキュリティにおける主要な脅威ベクトルになっています。
  • メールベースでないフィッシング攻撃には、ヴィッシング(電話によるフィッシング)、スミッシング(��キストメッセージによるフィッシング)、ソーシャルメディアフィッシングなどがあります。

メールセキュリティ戦略には、フィッシング攻撃をブロックするためのアプローチをいくつか含める場合があります。メールセキュリティソリューションは、既知の悪性IPアドレスから来たメールをフィルタリングで除去することができます。メールに埋め込まれたリンクをブロックまたは除去して、ユーザーがフィッシングWebページへ移動しないようにできるのです。また、DNSフィルタリングを使ってフィッシングWebページをブロックすることも可能です。データ損失防止(DLP)ソリューションでも、機密情報を含む送信メッセージをブロックしたり、編集して伏せ字化したりできます。

最後に、フィッシングメールの見分け方について従業員を訓練することも必要です。

攻撃でメール添付はどのように使われるのか?

メール添付は有用な機能ですが、攻撃者はこれを使って悪意ある内容(マルウェアなど)を標的に送ります。

手口としては、単純に悪意あるソフトウェアを.exeファイルとして添付し、受信者がその添付ファイルを開くように仕向けるという方法があります。もっと一般的なのは、PDFやWordファイルなど一見何の変哲もない文書に悪意あるコードを忍ばせるやり方です。いずれのファイルタイプもコード(マクロなど)の組み込みに対応しており、攻撃者はそのコードを利用して、受信者のコンピューター上でマルウェアをダウンロードして開けるなど、いくつかの悪意あるアクションを実行できます。

近年のランサムウェア感染の多くは、メール添付ファイルから始まっています。例:

  • RyukランサムウェアはTrickBotまたはEmotetへの感染を通してネットワークへ侵入することが多く、感染はどちらもメール添付ファイルを通して拡散します。
  • Mazeランサムウェアは、メール添付ファイルを足掛かりに被害者のネットワークに侵入します。
  • Petyaランサムウェア攻撃も、メール添付ファイルから始まるのが通常でした。

メールセキュリティの一環として、こうした悪意あるメール添付ファイルのブロックまたは無害化があり、全メールをアンチマルウェアでスキャンして悪意のあるコードを特定することも含められます。さらに、予定や説明のないメール添付ファイルは無視するようにユーザーを訓練することも必要です。Webベースのメールクライアントなら、ブラウザ分離も攻撃の無害化に役立ちます。悪意のある添付ファイルをユーザーのデバイスから離れたサンドボックスにダウンロードすることができるからです。

スパムとは?

スパムとは、受信者の許可なく送られる不要もしくは不適切なメールメッセージを表す用語です。ほぼすべてのメールプロバイダーが、一定のスパムフィルターを提供しています。それでも、一部のスパムメッセージがユーザーの受信箱に到達することは避けられません。

スパム攻撃者は時が経つにつれて悪性の「メール送信者としての評判」*が立ち、彼らが送るメッセージもスパムとしてマークされるようになります。そのため、スパム攻撃者は、スパムとして検出されないスパムを送信するために、しばしばユーザーの受信箱を乗っ取ってIPアドレス空間を盗んだり、ドメインをスプーフィングしようとします。

個人や組織でスパム受信を減らすために講じられる対策はいくつかあります。まず、メールアドレスの公表を控える、または止めることができます。メールサービスプロバイダーが提供するフィルターに加えて、サードパーティのスパムフィルターを実装することができます。さらには、既存のフィルターを訓練して精度を上げるために、スパムメールをスパムと一貫してマーキングすることができます。

*特定送信者のメールで受信者が未開封だったりスパムとマークするものが多い場合や、メッセージが頻繁にバウンス(配信失敗)する場合は、ISPとメールサービスがその送信者の評判を下げます。

攻撃者はどのようにメールアカウントを乗っ取るのか?

攻撃者は盗んだ受信箱を、スパム送信、フィッシング攻撃開始、マルウェア拡散、連絡先リストの入手、メールアカウントを使ったユーザーアカウント情報の窃盗など、さまざまな目的に使う可能性があります。

メールアカウントへの侵入手口は、いくつかあります。

  • 既に盗まれた資格情報のリストを購入: これまでに個人データ漏えいが多々発生しており、盗まれたユーザー名やパスワードといった資格情報のリストがダークWebに広く出回っています。攻撃者はそうしたリストを購入し、その資格情報を使ってユーザーアカウントに侵入することができます。手口は通常クレデンシャルスタッフィングです。
  • 総当たり攻撃: 総当たり攻撃では、攻撃者はログインページを読み込み、ボットを使ってユーザーの資格情報をすばやく割り出します。レート制限とパスワード入力の回数制限により、この手口を効果的に阻止することができます。
  • フィッシング攻撃: 攻撃者は事前にフィッシング攻撃を行い、ユーザーのメールアカウントのログイン資格情報を入手しているかもしれません。
  • Webブラウザーの感染: 中間者攻撃と同様、悪意のある者は、Webページ上で入力されるメールユーザー名やパスワードなどすべての情報を見るために、ユーザーのWebブラウザーを感染させることがあります。
  • スパイウェア: 攻撃者は既にユーザーデバイスを感染させ、スパイウェアをインストールして、メールユーザー名やパスワードなど、入力される項目すべてを追跡しているかもしれません。

パスワードによる単一要素認証の代わりに多要素認証(MFA)を用いることは、受信箱を攻撃から保護する一つの方法です。また、企業は、メールに直接ログオンするのでなくシングルサインオン(SSO)サービスを使うようユーザーに求めたいと考えるかもしれません。

暗号化によるメール保護の仕組みは?

暗号化とは、データをスクランブルし、許可された者だけがスクランブルを解除して読めるようにするプロセスをいいます。暗号化は手紙を封筒に入れて封をするようなもので、送信者から受信者までの間で任意数の人の手を経る場合でも、受信者だけが手紙の内容を読めるようにします。

暗号化はメールに自動的には組み込まれていません。つまり、メールの送信は内容を保護する封筒なしに手紙を送るようなものなのです。メールには個人情報や機密データが含まれることが多いため、これは大きな問題になりかねません。

手紙が瞬時に届かないのと同じように、メールも送信者から受信者へ真っすぐに行くわけではありません。接続された複数のネットワークを経て、メールサーバーからメールサーバーへとルーティングされ、最終的に受信者に到達するのです。メールが暗号化されていなければ、メールサービスプロバイダーを含めてこのプロセスの途中にいる人なら誰でも、傍受して読むことができます。ただ、メールが最も傍受されやすいのは送信元の近くで、パケットスニッフィング(ネットワーク上のデータパケットの監視)というテクニックが使われます。

暗号化は手紙を封筒に入れて封をするようなものです。メールの暗号化には通常、公開鍵暗号方式(詳細)が使われます。エンドツーエンドのメール暗号化もあります。これは、あらゆる外部者はもちろん、メールサービスプロバイダーからもメールの内容を保護します。

DNSレコードがメール攻撃の防止にどう役立つか?

ドメインネームシステム(DNS)は、ドメインのIPアドレスを含めたドメイン関連のパブリックレコードを格納します。英数字を並べた長いIPアドレスを暗記しなくてもユーザーがWebサイトに接続してメールを送信できるようにするのに、DNSは欠かせません。

なり済ました攻撃者ではなく正当な送信元からのメールであることを保証する特別タイプのDNSレコードがあります。SPFレコードDKIMレコードDMARCレコードです。メールサービスプロバイダーは、この3種のレコードとメールを照合し、送信元とされている所からのものか、途中で改ざんされていないかを確認します。

Cloudflare Email DNS Security Wizardは、ドメイン所有者がこれらの重要なDNSレコードをすばやく正確に構成するのに役立ちます。詳しくはブログ記事をご覧ください。

フィッシング攻撃はどうすれば阻止できるのか?

メールプロバイダーの多くは、ある程度のフィッシング対策を内蔵しています(上記のDNSレコードは通常、プロバイダーがフィッシング攻撃をブロックする際に確認するシグナルの一つです)。それでも、フィッシングメールは頻繁にユーザーの受信箱に届きます。多くの企業では追加的なフィッシング対策を導入して、ユーザーとネットワークの防御を強化しています。

Cloudflare Area 1 Email Securityは、クラウドベースのフィッシング対策を提供します。Cloudflare Area 1 はフィッシングメールの配信インフラを予め特定し、トラフィックのパターンを分析して攻撃の相互関係を見極め、フィッシングキャンペーンを突き止めます。このアンチフィッシングサービスの仕組みについて、詳細をお読みください。