メールアカウントの乗っ取り―　その手口と対策を解説

ビジネスにおける必須のコミュニケーションツールといえば、その筆頭は電子メールです。近年ではチャットなど電子メールに代わるコミュニケーションツールも普及してきましたが、今でも電子メールは世界中で広く利用されています。
一方で、広く普及しているITツールはサイバー攻撃のターゲットにされやすく、電子メールに関連するサイバー攻撃は数多く存在します。本コラムでは、メールアカウントの乗っ取りについて、その手口と対策を解説します。

メールアカウントの乗っ取り被害の影響

「メールアカウントの乗っ取り」とは、第三者によってメールアカウントが不正にログインされ、自由に操作されてしまう状態をいいます。メールアカウントが乗っ取りの被害にあうと、企業にとってさまざまなリスクが発生します。

個人情報の漏えい

メールアカウントが乗っ取られると、アドレス帳や過去のメールデータから、名前、住所、電話番号などの個人情報が漏えいするリスクがあります。また、これらの情報が悪用された場合、詐欺や個人情報の不正利用などの二次被害が発生する可能性があります。

不審なメールの送信

乗っ取られたメールアカウントを使って、不審なメールが顧客や取引先に送信されます。多くは迷惑メールの送信元アドレスとして利用され、大量のメールが送信されてしまいます。また、マルウェアを添付したメールが大量に送信された場合、マルウェア感染拡大の加害者になる恐れがあります。

金銭的被害

乗っ取られたメールアカウントを使って、詐欺や不正取引が行われることもあります。例えば、攻撃者があなたになりすまして社員や取引先にお金を要求するメールを送ることで、金銭的な被害が発生する可能性があります。

他のサービスのさらなる乗っ取り

メールアカウントの乗っ取りは、他のオンラインサービスの乗っ取りに発展することもあります。過去のメールデータから他に使用しているオンラインサービスが特定できてしまいます。このメールアカウントを多要素認証やパスワードリセットの送信先アドレスに設定している場合、連鎖的に不正アクセスが広がる可能性があります。

企業の信用失墜

企業のメールアカウントが乗っ取られると、顧客や取引先との信頼関係が損なわれてしまいます。上述した個人情報の漏えい、不審なメールの送信、金銭的被害の発生によって、企業としての信用が失墜し、ビジネスに悪影響を及ぼす可能性があります。

業務の停滞

メールアカウントが乗っ取られると、その対応のために業務が停滞します。例えば、取引先に対する案内や謝罪などの対応や、重要なメールが削除されたり、そもそもメールシステムにログインができなくなった場合には、乗っ取られたアカウントを復旧するために多くの時間と労力を必要とします。

メールアカウント乗っ取りの手口

メールシステムのクラウド化が進んだ現代では、何も対策をしていなければ、メールシステムにアクセスするためのIDやパスワードを盗まれるだけで簡単に乗っ取りがされてしまいます。
そのため、犯罪者はさまざまな方法を用いてメールシステムにログインするための情報を盗み出したり、メールアカウントへのアクセスを試みます。具体的には次のような手法が採られます。

総当たり攻撃（簡単なパスワードが設定されている）

たとえば「１２３４」や「abcd」のような簡単なパスワードが設定されている場合、総当たり攻撃によってパスワードが破られてしまいます。また、個人が特定できている場合は、名前のローマ字表記や誕生日など個人情報から簡単に推測できるパスワードを設定していると、簡単に破られてしまうことがあります。

パスワードリスト攻撃（パスワードの使い回し）

複数のシステムで同じパスワードを使い回していると、これが乗っ取りの原因となることがあります。一つのシステムのパスワードが漏えいしてしまった場合に、メールシステムでも同じパスワードを使用していると簡単に乗っ取られてしまいます。

マルウェア感染

PCやスマートフォンがマルウェア（悪意あるソフトウェア）に感染することで、ログインIDやパスワードが盗まれてしまうこともあります。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人間の心理を利用して情報を引き出す手法です。例えば、攻撃者が電話やメールで上司や情報システム担当者を名乗り、パスワードや個人情報を聞き出すなどの手法が使われます。

メールアドレス乗っ取り対策として有効な予防策

複雑なパスワードを設定する

アカウントのパスワードは複雑なものを設定しましょう。パスワードは、大文字・小文字の英字、数字、記号を組み合わせた複雑なものにしましょう。

二要素認証の導入

二要素認証を導入することもセキュリティ強化に有効な対策となります。これは、パスワードに加えて、スマートフォンなどで生成される一時的なコードを入力することでログインを完了するなど、もう一つ追加の認証手段を設ける方法です。

セキュリティソフトの導入と更新

ウイルス対策ソフトを導入し、定義ファイルを定期的に更新することで、PCをウイルスやマルウェアの感染から保護できます。さらには、ウイルス対策ソフトに代えて、振る舞い検知機能を持ったEDRなどのセキュリティソフトを導入することで、より高度なサイバー攻撃に対応することができます。

フリーWi-Fiを利用しない

カフェや空港のフリーWi-Fiは非常に便利ですが、通信内容を盗聴される可能性があるため、乗っ取り被害のリスクを避けるためには、利用しないことが一番です。モバイルWiFiやスマホのテザリング機能を利用しましょう。どうしても利用する場合には、メールアカウントだけでなく、クレジットカードやオンラインバンキングなどの重要なサイトにはログインしないようにしましょう。

社内教育の実施

従業員に対して、セキュリティ意識を高めるための教育を行いましょう。フィッシング詐欺やソーシャルエンジニアリングの手口、パスワードの管理や使いまわしの禁止、メールの取扱いについて学ぶことで、被害を防ぐことができます。
また、サイバー攻撃を模した疑似メールによる訓練と教育を定期的に行うことで、より学習の効果が高まることが期待できます。

もしメールアカウントが乗っ取られてしまったら

万が一、メールアドレスが乗っ取られてしまった場合には、迅速かつ適切な対処が必要です。発覚した場合には、すぐに組織内のシステム担当者に報告を行ってください。 そのうえで以下の対処を行います。

• メールアカウントに正常にログインはできるか確認する
• パスワードの再設定を行う
• 顧客や取引先に対して、メールアカウントが乗っ取られたことを通知。もし、不審なメールが届いている場合には開かないように呼び掛ける
• ウイルス感染のチェック

これらの対処を自社で実施することが難しい場合には、専門家に相談することをお勧めします。また、個人情報の漏えいが疑われる場合には、個人情報保護法に基づく報告義務が発生する可能性もあるため、法律の専門家への相談も必要になります。

まとめ