電子メール経由での脅威は未だに衰えることを知らず、情報処理推進機構さんが昨年8月に発表した情報セキュリティ10大脅威2022(https://www.ipa.go.jp/security/vuln/10threats2022.html)においても上位に電子メールが関連する脅威が多く含まれています。

個人を標的にした脅威の1位はフィッシングによる個人情報等の詐取でこれにはSMS経由など電子メール以外の経路も含まれますが、電子メール経由の脅威も多く含まれています。組織を標的にした脅威のの1位はランサムウェアによる被害でこれも電子メール以外の経路もあるものの電子メールも大きな侵入口であると言っても差し支えない状況です。そして、2位以下にも電子メール経由の脅威が多数含まれます。

電子メール経由の脅威はキャンペーン化されて一時期に大量に観測されることが多く、SNSでも大きな話題になります。その際に少し気になる点があります。それは”初心者は電子メールを見て正規のメールかどうか見分けがつかない”というものです。

これ自体は正しいかもしれませんが、申し上げたいのは中級者も上級者も電子メールを見分けようとするのはやめませんか、ということです。

電子メールが正規なものかどうかを見分ける為に必要なこととして1つはDMARC(https://www.naritai.jp/dmarc_effectiveness.html)等の送信ドメイン認証が挙げられると思います。電子メールのセキュリティゲートウェイが自動的にDMARCやDKIM等のヘッダ評価をしてくれるシステムであればその結果を見ることである程度判断することは出来ます。そういった自動的な評価機能がないシステムの場合にはヘッダを紐解く必要が生じることが多くひと目で判断するのはなかなか難しい状況です。また近年の電子メールは間に複数のセキュリティソリューションが入っていることも珍しくなく、ユーザの手元に届くまでに大量のヘッダが付与されます。それらを正しく読み解くのは一筋縄ではいきません。適切な実装を行うことで大きな効果を上げることができるのです。

一般社団法人日本ビジネスメール協会のビジネスメール実態調査2022(https://businessmail.or.jp/research/2022-result-2/)によれば1日の平均受信数は66.87通と言われています。これらの全てのヘッダを確認していたらメールチェックだけでどれだけの時間を消費するでしょうか。

DMARCに基づいたブランド判別技術であるBIMIも有効になってきます。BIMIの普及によってひと目で安全性が確認できるようになることが期待できます。これらはメールの真正性を判断する上で非常に重要です。まずは自社でDMARCを導入していないという方は是非今すぐの導入をご検討ください。対応していない場合、貴社から送信したメールを受信側は不審なメールとして見られてしまう可能性もあるわけです。

次に本文を読めば怪しいメールかどうかわかるのではないか、という意見もありますが、怪しいメールはそもそも開くべきではありません。一昔前の様に本文の日本語がおかしいということも減りましたし、メールクライアントの設定次第ではメールを開くことでそのアカウントが生きているということを攻撃者に伝えてしまうこともあります。攻撃者に対してアカウントの生死を知られることは次の攻撃を生むため知られないにこしたことはありません。

攻撃者は緊急度の高そうな件名や射幸心を煽るような件名を使い、平常心を乱してメールを開かせようとします。こういったメールを受信した場合であってもメールを開くことはせず、ブックマークから自分の利用しているサービスのWebサイトに飛んでから確認するようにしてください。通常のサービスは重大な情報であればWebサイトにも同じ情報が書かれています。サービス登録時にそのWebサイトをブックマークしておくのが一番効率がいいのではないかと思います。取引先からのメールの場合は、開かざるを得ないでしょうが、少しでも違和感がある場合には直接送信した相手に電話で確認をするということが重要です。

見抜くのではなく無視する、確認したい場合はメールのリンクは使わない。これを徹底することで大きく被害を減らすことができると思いますので参考になれば幸いです。