メールセキュリティ: 高度な脅威を防御するためのガイドライン

ほぼ毎日のように、セキュリティ犯罪に関する新しいニュースがメディアを飛び交っています。実際に、2020年の新型コロナウイルス禍において、フィッシング攻撃は350%も増加しています。.あなたの会社は、安全なメールゲートウェイ、厳格な暗号化ポリシー、フィッシングアウェアネス（意識向上）トレーニングなど、フィッシング攻撃への十分な備えで、安全を確保している思っているかもしれません。しかし、メールの脅威は日々進化しています。あなたの会社と従業員は、このような進化し続ける脅威に対して十分な備えができているでしょうか？

メールセキュリティには、脅威に対するプロアクティブなアプローチが不可欠です。これが意味することとは、メールセキュリティの現状を根底から見直す必要があるということです。ここでは、メールセキュリティがすべての企業にとって最優先事項であるべき理由、高度メール脅威を見分ける方法、メールセキュリティ戦略を今すぐに強化するためのヒントについて解説しています。

メールセキュリティとは？

メールセキュリティとは、一般的には、機密データへのアクセスや侵害を試みるメールの中に潜む悪意ある行為から身を守るためのツール、技法、手順、ソフトウェアのことを指します。VerizonのData Breach Investigations Reportによると、2019年におけるサイバー攻撃の90%はメールに起因しています。

サイバー攻撃者は、経営幹部や部門長などを装ったメールの送信、マルウェアやランサムウェアを含むリンクや添付ファイルの転送、メール本文内の違法URL送信によるログイン認証のフィッシングなど、いくつかの方法で機密データを違法に入手しようと試みてきます。

このような脅威から免れることはできずに、しばしば甚大な被害が発生しています。例えば、2015年に起きた事例ですが、サイバー犯罪者がソニーの従業員になりすまし、マルウェアが仕込まれたメールを無防備な同僚に送りつけました。

その結果はどうでしょうか？ 100TB以上のデータが盗まれ、ソニーは1億ドル以上の損失を被りました。テックジャイアントと呼ばれるGoogleやFacebookでさえ、メールセキュリティ攻撃の餌食になっています。2013年から2015年にかけて、ハッカーは本物そっくりの偽の請求書を両社に送りつけ、この2年間で1億ドル以上をサイバー攻撃者は両社から手にしています。

悪意のあるリンクや添付ファイルを含むメールが急増するにつれ、メールのセキュリティを強化するためにセキュアメールゲートウェイなどのフィッシング対策ソリューションの採用を決断する企業が増えてきました。しかし、このような対策にもかかわらず、今日でも、電子メールは大企業や中小企業にとって大きなリスクです。加えて、リモートワークの増加によって、セキュリティ担当者の仕事は複雑化の一途をたどっています。

2020年4月に発表されたFBIの報告書によると、クラウドベースのメールサービスを攻撃することで、米国内に20億ドルを超える被害を与えたと報じています。メールセキュリティを次のレベルに引き上げるために、APIを統合したメールボックスレベルのメールセキュリティ、AIを活用したフィッシングインシデント対応システム、高度なURLやマルウェア対策などの実装が必須になってきています。

代表的なメールセキュリティ脅威

どのような脅威に備えることが必要でしょうか？詳しく見ていきましょう。

フィッシング

フィッシング攻撃では、個人情報や仕事上の機密情報を提供するようにメールを巧みに使用してきます。多くの場合、緊急性に訴えることで人の心理的な隙を狙い、人を騙します。ここで重要なことは、報告されたセキュリティインシデントの80%が、フィッシング攻撃であるだけではありません。さらに重要なことは、フィッシング攻撃により毎分17,700ドルの損失が発生していることです。フィッシング詐欺の最大の特徴は、安価に仕掛けることです。そのため、サイバー攻撃者は、何千ものバージョンのメールを取り換えて繰り返し発信してきます。そして、どのメールが最も効果的であるかを見極め、さらに高度なフィッシングメールを送り付けてきます。

ホエーリング

ホエーリングは、組織の上級管理職を狙ったフィッシングの一種です。FBIによると、ホエーリングによって2018年には125億円超える被害が発生しました。その後もその被害は増大しています。多くの場合、サイバー攻撃者にとって最終的なゴールは、標的となる当事者を騙して、間違った銀行口座にお金を振り込ませたり、機密情報を漏洩させたりすることです。そのためには、ホエーリングでは、大掛かりな事前の調査や準備が必要です。サイバー攻撃者は、事前に集めた内部情報を巧みに活用して、役員や担当部長などの大物（クジラ）になりすまして、標的に忍び寄ってきます。

ビジネスメール詐欺（BEC）

ビジネスメール詐欺（BEC）の発端は、サイバー犯罪者が内部の担当者や外部の取引先になりすまし、なりすましメールを送り付けてきます。サイバー攻撃者にとって最終的なゴールは、標的となる当事者を騙して、間違った銀行口座にお金を振り込ませたり、機密情報を漏洩させたりすることです。2018年から2019年にかけて、 BECによる全世界の被害額が倍増しました。その後も、この増加は継続しています。

米国のUbiquiti Networksは、サイバー攻撃者が従業員と役員の両方になりすまし、4670万ドルを第三者の銀行口座に振り込ませるという攻撃の被害を公表しています。BECを見極めることを困難にしているのは、なりすましという点だけでなく、攻撃者が送るメールには怪しげなリンクや添付ファイルが少ないためです。

マルウェア

マルウェアは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。シマンテックによると、13件のWebリクエストのうち1件はマルウェアにつながるものであると報じています。また、アクセンチュアは、マルウェアの攻撃1件あたり、 50日の生産性が失われると指摘しています。コンピューターがマルウェアに感染すると、機密データ／個人情報の漏洩や主要機能の不全が発生する危険性があります。マルウェアの中には、本人に気づかれないように人の行動を監視するものもあります。マルウェアの代表的なものとして、ワーム、トロイの木馬、ウイルス、スパイウェアなどがあります。

ランサムウェア

ランサムウェアとは、マルウェアの一種である。これに感染したコンピューターは、利用者のシステムへのアクセスを制限されます。この制限を解除するために、身代金を支払うよう要求してくるものです。ランサムウェアは、「ランサム（Ransom＝身代金）」と「ウェア（Software）」を繋げた造語です。Cybersecurity Venturesは、ランサムウェアの被害は11秒に1件発生しており、米国における2020年の被害総額は14億ドルを超えると見ています。一般的に、身代金は追跡不可能なビットコインやプリペイドカードの形で要求されます。このため、攻撃者は簡単に犯罪から逃れることができます。最近のランサムウェアの攻撃では、ウイルス対策ソフトをシミュレートし、有害な情報を公開すると脅したり、被害者をコンピューターから完全にアクセスできないようにしています。

３つのメールセキュリティのベストプラクティス

メールセキュリティのベストプラクティスに従うことで、マルウェア、フィッシング、ビジネスメール詐欺（BEC）などから防御するための基盤を構築することができます。多くの場合、複数の戦術を複合的に組み合わせたものになります。つまり、プロアクティブに身を守るには、多面的なアプローチが必要になります。

メールセキュリティプラットフォーム

暗号化、スパムフィルター、セキュアメールゲートウェイでは、今日の巧妙化する攻撃には歯が立ちません。フィッシングの脅威は常に進化しており、SaaSフィッシング、ホモグリフ、ファーミングなどの新しい手口が登場しています。

このような巧妙化に対処するためには、ログインページの異常、視覚的な違和感、怪しげなリンクや添付ファイルを検出することで、これらの違いを予見する必要があります。

IRONSCALESのメールセキュリティプラットフォームでは、APIを統合して、メールボックスレベルでのコミュニケーションパターンを内側からリサーチしています。

AIとマシンラーニングによって、受信メッセージと送信メッセージをスキャンし、認証エラー、ポリシー違反を検知すると、悪意のあるフィッシング攻撃の兆候にフラグを立て、警告を促します。また、IRONSCALESのメールセキュリティプラットフォームでは、自動化を活用してフィッシング攻撃を数秒で検出し、問題を即座に解決することを可能にしています。

MFA/2FA

多要素認証（MFA）や2要素認証（2FA）は、企業や組織を安全に守るための追加の保護レイヤーを提供してくれます。例えば、職場のアプリケーションにアクセスするには、従業員は、パスワードに加えて、認証アプリやテキストで受け取ったコードまたはその両方を入力すること求められます。複数のチェックポイントがあることで、サイバー攻撃者が機密データを入手することが難しくなります。

MFA/2FAの欠点は、不便であることです。情報にアクセスするには、ユーザーはスマートフォンなどの別のデバイスをチェックしてコードを入力しなければなりません。そのため、会社から要求されない限り、多くの従業員が実際に使用することを避けてしまいます。もう1つ注意しなければならないことは、MFAや2FAだけでは、アカウント乗っ取り攻撃に対して防御できないことです。これは、攻撃者がすでにメールアカウントにアクセスできているためです。

従業員教育

従業員教育で重要なことは、定期的なトレーニングにより、新たな脅威やメールの安全なやり取りの仕方を従業員に適時教育することです。メールアドレスやドメイン、怪しいリンク、怪しい拡張子の添付ファイルなどをよく見るように指導していきます。毎月パスワードを変更し、更新があった場合はメールソフトを再起動するよう、従業員に継続的に注意を促していきます。また、セキュリティチームが攻撃に迅速に対処できるよう、怪しげなメールを受け取ったときにどうすればよいかを従業員に周知徹底することも大切です。

また、定期的にフィッシング攻撃演習を実施することで、従業員がフィッシング攻撃に対処するための知識をどの程度備えているかを把握することも必要です。ここで覚えておかなければならないことは、いくらトレーニングをしても、すべての従業員が研修通りに行動することはないということです。継続的なトレーニングに加えて、常に注意を喚起し続けることが不可欠です。

多くの企業は、これらの方法のうちの1つか2つにしか実行していないのが現状ですが、それだけでは十分でないことを肝に銘じることです。サイバーセキュリティの脅威が変化し、高度化し続けています。ベストプラクティスもこれに追随して、更新しなければなりません。メールセキュリティへの階層的なアプローチによって、全方位でカバーするセキュリティ対策を周知徹底することです。

高度なメールセキュリティ脅威対策

現行のメールセキュリティがどれほど強固なものであると考えても、そこには常に改善の余地があります。IRONSCALESは、高度な脅威を検出する自己学習型メールセキュリティプラットフォームです。ここには、他のサイバーセキュリティプロバイダーが提供するソリューションとは、異なったコンセプトとアプローチがあります。

IRONSCALESは、進化するフィッシングの脅威からビジネスを守るために必要なすべてのツールを1つに統合して提供しています。ビジネスメール詐欺 (BEC)、なりすましメール、サプライチェーン攻撃、アカウント乗っ取りなど、IRONSCALESのオールインワンプラットフォームは既知／未知のあらゆるタイプのサイバー攻撃からあなたの組織を守ります。

無償トライアルを申し込みください。IRONSCALESプラットフォームのパワーをお客様の環境で確認することができます。

無償トライアル