ホーム > メールにおける情報セキュリティ対策 > メールに伴うセキュリティリスク
情報セキュリティの基礎
 メールに伴うセキュリティリスク
ビジネスや個人間の情報連絡・伝達の手段として、とても便利で経済的で、広く普及しているメール。それは同時に、悪意ある人たちにとっても、格好の攻撃の対象や犯罪の手段でもあるのです。

特にメールは匿名性が高く、地球の裏側からでもほとんどコストをかけずに、しかも同時多量に、繰り返し送信することが可能です。プログラムで自動化することもできます。このような特徴は、攻撃したい人、悪さをしたい人、不正なお金儲けをしたい人、特定の主張をしたい人にとっては、とても便利な手段なのです。
メールを利用した攻撃
マルウェアの送付・感染
メールの添付ファイルにマルウェアを仕掛け、言葉巧みに開封させて感染させる。
htmlメールに貼り付けたアプレットなどに不正な動作をさせる。
危険なWebサイトに誘導してマルウェアを感染させる
メールの本文にあるURLをクリックすることで、攻撃者がわなを仕掛けたWebサイトに誘導され、そこからマルウェアを送り込まれる。
WebからのダウンロードやWeb上でクリックなどしなくても、アクセスしただけでマルウェアを送りつけるケースもあり、検知が困難なので非常に危険。
フィッシングサイトに誘導して情報を盗み取る(詳しくは15-1参照)
言葉巧みにメールの本文にあるURLをクリックさせ、銀行口座やクレジットカードなど、金銭詐取ができる情報を入力させて情報・金銭を盗み取る。
カード情報が漏れたためのセキュリティ対策とか、失効対策とか、あるいは特別な賞が当選したなど、言葉巧みに誘導するのでだまされる危険が高い。
ワンクリック詐欺で金銭を脅し取る(詳しくは15-3参照)
言葉巧みにメールの本文にあるURLをクリックさせ、あるいはメールに仕掛けたマルウェアにより、何らかの契約が成立したかのように思い込ませ、不当な請求を執拗に行って振込みをさせたり、電話を掛けさせて本人情報を入手し、金銭を脅し取る。
標的型攻撃の準備のために内部情報を盗み出す(詳しくは7参照)
特定の内部者に向けて、本物らしい内容のメールを送り(この時点ですでに本人の別のメールが盗み見られている可能性が高い)、返信させることで更なる内部情報(同僚、上司の名前、プロジェクト名等)を聞き出す。
その情報はさらなる標的型攻撃に利用され、マルウェアを仕掛ける手助けをすることになる。
メールを用いたサービス妨害(DDoS)攻撃
メールを受信するサーバに対して大量のメールを送りつけることにより、処理を遅らせたり機能停止させたりして、業務を妨害する。
メールを介したマルウェア感染
特に目立つ被害が、メールを介した感染です。
  • メールの添付ファイルとしてパソコンに侵入する
  • メールのプレビューによりマルウェアが実行される場合もある
  • 添付ファイルの実行により感染するが、感染したことに気付かない
  • パソコンに登録してあるメールアドレスに、自動的にマルウェア付きメールが送信される
  • 送信されたマルウェア付きメールは、送信記録が残らないため気付かない場合がある
▲ページトップへ