不在通知メールを攻撃者に悪用されないようにする方法とは？

「休暇中のため、メールを返信することができません。申し訳ありませんが、〇〇日以降に返信いたします」――日時を設定しておけば、その期間にメールを送信した人に対し、自動で不在通知を伝えるメールを送ることができるがメールサービスが多い。

メールを送った相手に「返信が来ない」とイライラさせないという意味では、親切そうに思える自動応答メールだが、ビジネス上のリスクとなるおそれがある。自動応答メールの内容から、攻撃の隙を与えてしまうかもしれないのだ。

カスペルスキーの公式ブログ「不在通知メール：必要以上の情報を漏らさないために」を基に、以下、安全に不在通知メールを使う方法を紹介しよう。

不在通知のメールのどこが危険？

まず、送信者が攻撃者だったら、自動応答メールが返ってくるだけで、そのメールが有効であることが知られてしまう。業務で使うメールの場合、大抵は、署名が入っており、ご丁寧に部署、役職、電話番号なども書かれていることだろう。

攻撃者は、送信先が実在する人間であることがわかれば、標的としてマークし、頻繁にメールを送りつけることが考えられる。電話をかけるかもしれない。しかし、これはまだ序の口だという。

カスペルスキーのブログでは、フィッシングメールに自動応答メールが送信された場合、そこに記載された個人情報(氏名、役職、業務スケジュール、電話番号など)は、スピアフィッシング攻撃に悪用されるおそれがあると指摘している。つまり、自動応答メールは、あらゆる種類のソーシャルエンジニアリングに使える宝の山と言える。

不在通知メールを悪用する手口とは？

では、不在通知メールが攻撃者に悪用される手口を紹介しよう。山田さんが以下のような不在通知の自動応答メールを設定したとする。

このメールを受信した攻撃者が山崎工業の部長を装い、渡辺さんに対し、山田さんのことを触れつつ、ユーザーインタフェースの設計候補を添付したメールを送信してきたら、どうなるだろうか。おそらく、渡辺さんはメールに添付されたファイルを開いてしまうだろう。このファイルがマルウェアやランサムウェアだったら、渡辺さんのコンピュータがこれらに感染し、会社全体に感染が広がるおそれがある。

さらに、攻撃者は渡辺さんに対し、休暇中の山田さんの名前を出しながら、メールのやり取りを行うことで、機密情報を窃取するかもしれない。

不在通知メールを安全に使うための対策とは？

以上のようなリスクを踏まえ、カスペルスキーでは、不在通知メールを安全に使うための対策として、以下を紹介している。

• 不在通知メールを使う必要がある従業員を決めておく。担当する取引先が数社程度の従業員なら、取引先にメール1通または電話1本で知らせておけば済む。

• ある従業員の業務すべてを1人の従業員が代行する場合、メールの転送機能を利用する。代行者は不便かもしれないが、重要なメールを見逃すようなことは確実に回避できる。

• 自動応答メールを社内アドレス用と社外アドレス用に2種類用意する方針を出す。社内のメールには詳しい指示の入ったメールで応答してもいいが、社外からのメールには必要最低限の返信にとどめる。

• 自動応答メールには必要以上の情報を記載しないようにする。製品ラインアップ、取引先、同僚の電話番号、休暇の行き先などを書く必要はない。

• GsuiteのGmailの不在通知を設定する画面。送信先をアドレス帳に登録している人、社内の人に限定することも可能