メールセキュリティとは、メールベースのサイバー攻撃を防ぎ、メールアカウントを乗っ取りから保護し、メール内容の安全を確保することをいいます。メールセキュリティは多面的で、何層もの保護が必要になる場合があります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
一般的なメール攻撃のタイプをいくつか挙げると、
メールドメインスプーフィングは、攻撃者が正当に見えるアドレスからメッセージを送れるため、いくつかのタイプのメールベース攻撃で重要になります。攻撃者はこのテクニックを使い、偽造した「送信元」アドレスでメールを送信できます。たとえば、ChuckがメールでBobを騙そうとする場合、Chuckは実際は「trustworthy-bank.com」というドメインの所有者でもその銀行の担当者でもないのに、「@trustworthy-bank.com」というドメインからBobにメールを送ることができるのです。
フィッシングは機密データ(通常はユーザー名、パスワード、その他の重要なアカウント情報)を盗もうとする試みです。フィッシング攻撃者は、パスワードでユーザーのアカウントを乗っ取るなど、盗み出した情報を自分で使うか、販売するかのどちらかです。
フィッシング攻撃者は、自分が確かな筋であるかのように見せかけます。ちょうど釣り人が餌を使うように、攻撃者は魅力的な依頼や一見急を要するような依頼で、被害者が情報を提供するよう誘導します。
フィッシングは通常、メールで行われます。攻撃者は、フィッシングメールの受信者が直接メールで情報を送るように仕向けるか、正当に見えるようデザインされ攻撃者の制御下に置かれたWebサイト(ユーザーがパスワードを入力する偽のログインページなど)へ誘導します。
フィッシングにはいくつかのタイプがあります。
メールセキュリティ戦略には、フィッシング攻撃をブロックするためのアプローチをいくつか含める場合があります。メールセキュリティソリューションは、既知の悪性IPアドレスから来たメールをフィルタリングで除去することができます。メールに埋め込まれたリンクをブロックまたは除去して、ユーザーがフィッシングWebページへ移動しないようにできるのです。また、DNSフィルタリングを使ってフィッシングWebページをブロックすることも可能です。データ損失防止(DLP)ソリューションでも、機密情報を含む送信メッセージをブロックしたり、編集して伏せ字化したりできます。
最後に、フィッシングメールの見分け方について従業員を訓練することも必要です。
メール添付は有用な機能ですが、攻撃者はこれを使って悪意ある内容(マルウェアなど)を標的に送ります。
手口としては、単純に悪意あるソフトウェアを.exeファイルとして添付し、受信者がその添付ファイルを開くように仕向けるという方法があります。もっと一般的なのは、PDFやWordファイルなど一見何の変哲もない文書に悪意あるコードを忍ばせるやり方です。いずれのファイルタイプもコード(マクロなど)の組み込みに対応しており、攻撃者はそのコードを利用して、受信者のコンピューター上でマルウェアをダウンロードして開けるなど、いくつかの悪意あるアクションを実行できます。
近年のランサムウェア感染の多くは、メール添付ファイルから始まっています。例:
メールセキュリティの一環として、こうした悪意あるメール添付ファイルのブロックまたは無害化があり、全メールをアンチマルウェアでスキャンして悪意のあるコードを特定することも含められます。さらに、予定や説明のないメール添付ファイルは無視するようにユーザーを訓練することも必要です。Webベースのメールクライアントなら、ブラウザ分離も攻撃の無害化に役立ちます。悪意のある添付ファイルをユーザーのデバイスから離れたサンドボックスにダウンロードすることができるからです。
スパムとは、受信者の許可なく送られる不要もしくは不適切なメールメッセージを表す用語です。ほぼすべてのメールプロバイダーが、一定のスパムフィルターを提供しています。それでも、一部のスパムメッセージがユーザーの受信箱に到達することは避けられません。
スパム攻撃者は時が経つにつれて悪性の「メール送信者としての評判」*が立ち、彼らが送るメッセージもスパムとしてマークされるようになります。そのため、スパム攻撃者は、スパムとして検出されないスパムを送信するために、しばしばユーザーの受信箱を乗っ取ってIPアドレス空間を盗んだり、ドメインをスプーフィングしようとします。
個人や組織でスパム受信を減らすために講じられる対策はいくつかあります。まず、メールアドレスの公表を控える、または止めることができます。メールサービスプロバイダーが提供するフィルターに加えて、サードパーティのスパムフィルターを実装することができます。さらには、既存のフィルターを訓練して精度を上げるために、スパムメールをスパムと一貫してマーキングすることができます。
*特定送信者のメールで受信者が未開封だったりスパムとマークするものが多い場合や、メッセージが頻繁にバウンス(配信失敗)する場合は、ISPとメールサービスがその送信者の評判を下げます。
攻撃者は盗んだ受信箱を、スパム送信、フィッシング攻撃開始、マルウェア拡散、連絡先リストの入手、メールアカウントを使ったユーザーアカウント情報の窃盗など、さまざまな目的に使う可能性があります。
メールアカウントへの侵入手口は、いくつかあります。
パスワードによる単一要素認証の代わりに多要素認証(MFA)を用いることは、受信箱を攻撃から保護する一つの方法です。また、企業は、メールに直接ログオンするのでなくシングルサインオン(SSO)サービスを使うようユーザーに求めたいと考えるかもしれません。
暗号化とは、データをスクランブルし、許可された者だけがスクランブルを解除して読めるようにするプロセスをいいます。暗号化は手紙を封筒に入れて封をするようなもので、送信者から受信者までの間で任意数の人の手を経る場合でも、受信者だけが手紙の内容を読めるようにします。
暗号化はメールに自動的には組み込まれていません。つまり、メールの送信は内容を保護する封筒なしに手紙を送るようなものなのです。メールには個人情報や機密データが含まれることが多いため、これは大きな問題になりかねません。
手紙が瞬時に届かないのと同じように、メールも送信者から受信者へ真っすぐに行くわけではありません。接続された複数のネットワークを経て、メールサーバーからメールサーバーへとルーティングされ、最終的に受信者に到達するのです。メールが暗号化されていなければ、メールサービスプロバイダーを含めてこのプロセスの途中にいる人なら誰でも、傍受して読むことができます。ただ、メールが最も傍受されやすいのは送信元の近くで、パケットスニッフィング(ネットワーク上のデータパケットの監視)というテクニックが使われます。
暗号化は手紙を封筒に入れて封をするようなものです。メールの暗号化には通常、公開鍵暗号方式(詳細)が使われます。エンドツーエンドのメール暗号化もあります。これは、あらゆる外部者はもちろん、メールサービスプロバイダーからもメールの内容を保護します。
ドメインネームシステム(DNS)は、ドメインのIPアドレスを含めたドメイン関連のパブリックレコードを格納します。英数字を並べた長いIPアドレスを暗記しなくてもユーザーがWebサイトに接続してメールを送信できるようにするのに、DNSは欠かせません。
なり済ました攻撃者ではなく正当な送信元からのメールであることを保証する特別タイプのDNSレコードがあります。SPFレコード、DKIMレコード、DMARCレコードです。メールサービスプロバイダーは、この3種のレコードとメールを照合し、送信元とされている所からのものか、途中で改ざんされていないかを確認します。
Cloudflare Email DNS Security Wizardは、ドメイン所有者がこれらの重要なDNSレコードをすばやく正確に構成するのに役立ちます。詳しくはブログ記事をご覧ください。
メールプロバイダーの多くは、ある程度のフィッシング対策を内蔵しています(上記のDNSレコードは通常、プロバイダーがフィッシング攻撃をブロックする際に確認するシグナルの一つです)。それでも、フィッシングメールは頻繁にユーザーの受信箱に届きます。多くの企業では追加的なフィッシング対策を導入して、ユーザーとネットワークの防御を強化しています。
Cloudflare Area 1 Email Securityは、クラウドベースのフィッシング対策を提供します。Cloudflare Area 1 はフィッシングメールの配信インフラを予め特定し、トラフィックのパターンを分析して攻撃の相互関係を見極め、フィッシングキャンペーンを突き止めます。このアンチフィッシングサービスの仕組みについて、詳細をお読みください。