メールセキュリティの重要性
メールは、サイバー攻撃の最も一般的な入口です。フィッシング攻撃の 90% 以上がメールを起点としており、ランサムウェアやマルウェアの配布にも頻繁に利用されています。
メールは 1970 年代に設計されたプロトコルを基盤としており、セキュリティは後から追加されたものです。送信者の偽装やメール内容の盗聴が技術的に可能であるため、利用者自身がリスクを理解し、適切な対策を講じることが不可欠です。
フィッシングメールの見分け方
フィッシングメールは、正規のサービスや組織を装って個人情報やログイン情報を窃取しようとする詐欺メールです。以下のポイントを確認してください。
送信者アドレスを確認する
表示名は簡単に偽装できるため、実際のメールアドレスを確認しましょう。正規のドメインと微妙に異なるアドレス (例:support@amaz0n.com、info@paypa1.com) が使われていることがあります。
緊急性を煽る文面に注意
「アカウントが停止されます」「24 時間以内に対応しないと削除されます」など、焦りを誘って判断力を鈍らせる文面はフィッシングの典型的な手口です。
リンク先を確認する
メール内のリンクにマウスカーソルを合わせて (クリックせずに)、実際の URL を確認してください。正規のドメインとは異なる URL に誘導されていないか注意が必要です。
添付ファイルに注意
予期しない添付ファイル、とりわけ .exe、.zip、.docm (マクロ付き Word) などは開かないでください。マルウェアが仕込まれている可能性があります。
文法や表現の不自然さ
機械翻訳のような不自然な日本語、誤字脱字、通常と異なる挨拶文はフィッシングメールの兆候です。ただし、近年は自動生成技術の進化により自然な文面のフィッシングメールも増えている点に留意してください。
メール暗号化の仕組み
TLS による転送中の暗号化
現在のほとんどのメールサーバーは、送受信時に TLS 暗号化を使用しています。これにより転送中の傍受リスクは軽減されますが、メールサーバー上では暗号化されていない状態で保存されます。
エンドツーエンド暗号化
送信者から受信者まで、メールの内容が常に暗号化された状態を維持する方式です。メールサーバーの管理者でさえ内容を読むことができません。
- PGP/GPG:オープンソースの暗号化規格。技術的な知識が必要
- S/MIME:証明書ベースの暗号化。企業環境で使用されることが多い
- ProtonMail:エンドツーエンド暗号化が組み込まれたメールサービス
- Tutanota:同じくエンドツーエンド暗号化を提供するメールサービス
メール認証技術
送信者の偽装を防ぐために、以下のメール認証技術が開発されています。
SPF:Sender Policy Framework
ドメインの所有者が、そのドメインからメールを送信できるサーバーの IP アドレスを DNS レコードに登録する仕組みです。
DKIM:DomainKeys Identified Mail
メールにデジタル署名を付加し、内容が改ざんされていないことを検証する仕組みです。
DMARC:Domain-based Message Authentication, Reporting and Conformance
SPF と DKIM の結果に基づいて、認証に失敗したメールの処理方法 (拒否、隔離、許可) をドメイン所有者が指定できる仕組みです。メール認証技術の導入を検討している方には、メール認証技術の入門書が参考になります。
安全なメール利用のための対策
- 不審なメールのリンクはクリックせず、ブラウザから直接サービスにアクセスする
- 添付ファイルは、送信者に確認してから開く
- 二要素認証をメールアカウントに設定する
- 強力なパスワードを使用し、他のサービスと使い回さない
- メールクライアントのスパムフィルターを有効にする
- HTML メールの画像自動読み込みを無効にし、トラッキングピクセルを防止する
- 重要な情報のやり取りには、エンドツーエンド暗号化されたメールサービスを使用する
メールはソーシャルエンジニアリング攻撃の主要な経路でもあります。不審なメールへの対処法を日頃から意識しておきましょう。メールセキュリティを体系的に学びたい方には、フィッシング対策の参考書も役立ちます。IP 確認さんでブラウザのセキュリティスコアを確認し、接続環境の安全性も定期的にチェックすることをおすすめします。
この記事で登場した専門用語の意味を確認したい場合は、用語集もご活用ください。