メールはビジネスのコミュニケーションツールとして重宝されており、他人に漏れたら困るデータもたくさん格納されているのではないだろうか。それゆえ、メールボックスを乗っ取ろうとする攻撃者も多い。そこで本稿では、カスペルスキーの公式ブログをもとに、メールボックスに残しておくべきではないデータを整理してみたい。

認証情報

最近のWebサービスは、一時的なパスワードを発行するときに、パスワード変更用のWebページに誘導するリンクを送る方法を取るようになっている。とはいえ、今でもパスワードをメールで送っている会社はあり、社内サービスや社内リソース関連ではメールが使われるケースが多い。

カスペルスキーは、「こうしたメールは、攻撃者がまさに探しているメール」と指摘している。なぜなら、企業のリソースにアクセスすることができれば、ソーシャルエンジニアリングや攻撃の発展に使える追加情報が手に入るからだという。よって、メールに認証情報を保管しておくのは危険だ。

Webサービスの通知

Webサービスは、登録の確認、パスワードリセット用のリンク、プライバシーポリシーの更新通知など、さまざまな通知を送ってくる。この通知により、その人が何のサービスを利用しているかがわかってしまう。よって、こうした通知を自動的に探すスクリプトを攻撃者が持っている可能性は大いにあるそうだ。

どのサービスを利用しているかがわかれば、攻撃者はパスワードの変更リクエストを行って、そのユーザーのメールボックスからパスワードを変更するWebページにたどり着けてしまう。

個人文書のスキャン画像

メールボックスをファイルストレージのように使っている人も多いのではないだろうか。特に、オフィスのスキャナーがスキャン画像をメールで配信するようになっている場合は。出張時や日常の事務手続きに、パスポートや納税関連その他の文書のスキャン画像が必要になることがある。

よって、カスペルスキーは「個人情報が含まれるメールはすぐに削除すること」「必要なファイルはダウンロードし、暗号化されたストレージに保管すること」を勧めている。

業務上の機密情報

ビジネスユーザーにとって、文書のやり取りは業務フローの一部だが、その文書が同僚にとどまらず、攻撃者にも利となるかもしれない。カスペルスキーはその例として、財務報告書を挙げている。

経理担当者のメールボックス内にある可能性が高い財務報告書は、重要情報の宝庫であru、BEC攻撃の理想的な出発点でもあるという。財務報告書に含まれている情報があれば、攻撃者は、社内の人へ手当たり次第に詐欺メールを送らずに、具体的な契約者、口座、送金額に関するリアルな情報を使って目を引くような件名のメールを作成できる。

さらに、会社の置かれているビジネス状況のほか、パートナー企業や請負業者に関する有益な情報を得ることができ、パートナーや請負業者に対する攻撃に利用可能となるという。さらには、財務報告書を詳細に調べれば、株式取引を操作することも可能かもしれないと、カスペルスキーは指摘している。

したがって、機密情報は受け取った時点で削除し、暗号化しないまま送らないことが重要となる。

個人情報

履歴書や職務経歴書、申請書や登録証のような他人の個人情報が、メールボックス内に存在する可能性もあるだろう。こうした情報を提出した人たちは、その情報を安全に保管することを期待している。加えて、特にPIIに関する厳格な法律が存在する国の当局も、同じ期待をしている。

よって、今さらかもしれないが、個人情報をメールボックスに残しておくのは避けたいものだ。