サイバー攻撃者はマルウェアを感染させる最初の取っ掛かりとして電子メールを悪用している。この方法は古くから使われているが、依然としてマルウェア感染を拡散させる上で最も有効な手段であり、脅威の入り口として現在でもさまざまな試みが行われている。電子メール経由で広がるマルウェア感染を防止することは企業活動を継続する上で欠かすことのできない対策のひとつとなっている。
Tripwireは12月9日(米国時間)、「Email Security – 12 Essential Tips for Keeping Your Email Safe」において、メールを安全に扱うための12のティップスを紹介した。こうしたティップスは定期的に社員教育に利用するなどして情報のアップデートと再認識を促すことが望ましい。
紹介されている主なティップスは次のとおり。
- 巧妙なフィッシングメールのスキームを知り注意する。フィッシング詐欺にはスピアフィッシング、ビッシング、スミッシング、ホエーリング、BECなどさまざまな種類が存在している。
- 不審なメールであると判断する材料を知る。タイプミス、おかしなURL、会社と一致しない送信者のメールアドレス、リンククリックへの誘導、フッタに掲載されている会社と異なるデータ、文法エラー、ヘッダの大文字と小文字混在、不十分なレイアウト、個人情報の要求など。
- 添付ファイルが正当であることが確実でないかぎり、添付ファイルは開かない。
- 身に覚えのないユーザーからのメールのリンクはクリックしない。
- 強いパスワードを使用する。
- ペットの名前、学校の名前、誕生日、家族の名前など、個人情報を共有しすぎない。サイバー攻撃者はこうしたデータからパスワードを推測する。
- 電子メールの正当性が確認できない場合は電話で会社に連絡して正当性を確認する。
- ウイルス対策ソフトウェアを活用する。
- 暗号化ソフトウェアを活用する。
- メールアーカイブソリューションを活用する。
- 重要なデータはバックアップする。
- 大規模な組織ではセキュリティオペレーションセンターを運用する。
メールは便利な手段である一方、最も攻撃を受けやすい手段でもある。利用者はこうした現状をよく知るとともに、適切に対応していくことが望まれる。
-
Email Security – 12 Essential Tips for Keeping Your Email Safe
最近のサイバー攻撃、特に標的型攻撃では、対象者を絞り込み、その対象者が普段やりとりしているであろうメールを想定してフィッシングメールが送信されてくる。内容は巧みであり、サイバー攻撃を受けていると気が付かないことも多い。ビジネスでは常にこうした攻撃を受ける可能性があることを認識するとともに、少しでも違和感を覚えたら一旦手を止めて正当なメールかよく調べることが望まれる。
