ホーム > メールにおける情報セキュリティ対策 > メールに伴うセキュリティリスク
本サイトは2008年度から2013年度まで経済産業省の委託事業として実施した「中小企業情報セキュリティ対策促進事業(指導者育成セミナー)」のサイトです。本事業は2013年度で終了いたしました。
ここに書かれている内容は2013年時点から更新をしていないので、御利用の際には古いコンテンツであることをご承知おきの上御利用下さい。
メールに伴うセキュリティリスク
ビジネスや個人間の情報連絡・伝達の手段として、とても便利で経済的で、広く普及しているメール。それは同時に、悪意ある人たちにとっても、格好の攻撃の対象や犯罪の手段でもあるのです。
特にメールは匿名性が高く、地球の裏側からでもほとんどコストをかけずに、しかも同時多量に、繰り返し送信することが可能です。プログラムで自動化することもできます。このような特徴は、攻撃したい人、悪さをしたい人、不正なお金儲けをしたい人、特定の主張をしたい人にとっては、とても便利な手段なのです。
特にメールは匿名性が高く、地球の裏側からでもほとんどコストをかけずに、しかも同時多量に、繰り返し送信することが可能です。プログラムで自動化することもできます。このような特徴は、攻撃したい人、悪さをしたい人、不正なお金儲けをしたい人、特定の主張をしたい人にとっては、とても便利な手段なのです。
メールを利用した攻撃
マルウェアの送付・感染
メールの添付ファイルにマルウェアを仕掛け、言葉巧みに開封させて感染させる。
htmlメールに貼り付けたアプレットなどに不正な動作をさせる。
htmlメールに貼り付けたアプレットなどに不正な動作をさせる。
危険なWebサイトに誘導してマルウェアを感染させる
メールの本文にあるURLをクリックすることで、攻撃者がわなを仕掛けたWebサイトに誘導され、そこからマルウェアを送り込まれる。
WebからのダウンロードやWeb上でクリックなどしなくても、アクセスしただけでマルウェアを送りつけるケースもあり、検知が困難なので非常に危険。
WebからのダウンロードやWeb上でクリックなどしなくても、アクセスしただけでマルウェアを送りつけるケースもあり、検知が困難なので非常に危険。
フィッシングサイトに誘導して情報を盗み取る(詳しくは15-1参照)
言葉巧みにメールの本文にあるURLをクリックさせ、銀行口座やクレジットカードなど、金銭詐取ができる情報を入力させて情報・金銭を盗み取る。
カード情報が漏れたためのセキュリティ対策とか、失効対策とか、あるいは特別な賞が当選したなど、言葉巧みに誘導するのでだまされる危険が高い。
カード情報が漏れたためのセキュリティ対策とか、失効対策とか、あるいは特別な賞が当選したなど、言葉巧みに誘導するのでだまされる危険が高い。
ワンクリック詐欺で金銭を脅し取る(詳しくは15-3参照)
言葉巧みにメールの本文にあるURLをクリックさせ、あるいはメールに仕掛けたマルウェアにより、何らかの契約が成立したかのように思い込ませ、不当な請求を執拗に行って振込みをさせたり、電話を掛けさせて本人情報を入手し、金銭を脅し取る。
標的型攻撃の準備のために内部情報を盗み出す(詳しくは7参照)
特定の内部者に向けて、本物らしい内容のメールを送り(この時点ですでに本人の別のメールが盗み見られている可能性が高い)、返信させることで更なる内部情報(同僚、上司の名前、プロジェクト名等)を聞き出す。
その情報はさらなる標的型攻撃に利用され、マルウェアを仕掛ける手助けをすることになる。
その情報はさらなる標的型攻撃に利用され、マルウェアを仕掛ける手助けをすることになる。
メールを用いたサービス妨害(DDoS)攻撃
メールを受信するサーバに対して大量のメールを送りつけることにより、処理を遅らせたり機能停止させたりして、業務を妨害する。
メールを介したマルウェア感染
特に目立つ被害が、メールを介した感染です。
- メールの添付ファイルとしてパソコンに侵入する
- メールのプレビューによりマルウェアが実行される場合もある
- 添付ファイルの実行により感染するが、感染したことに気付かない
- パソコンに登録してあるメールアドレスに、自動的にマルウェア付きメールが送信される
- 送信されたマルウェア付きメールは、送信記録が残らないため気付かない場合がある