チャットが広く普及して日常のやり取りは手軽になった今でも、重要な業務連絡や取引先との正式なやり取りはメールで行われています。そして同時に、メールはサイバー攻撃者にとって主要な侵入経路であり続けています。
この記事では、企業を悩ませる「ビジネスメール詐欺(BEC)」をはじめとするメール経由のサイバー攻撃の最新動向と、中小企業が抱えるメールセキュリティの課題、さらにそれを解決するメールセキュリティサービスの選び方とおすすめのサービスをご紹介します。
メール経由のサイバー攻撃の動向
ビジネスメール詐欺(BEC)が生成AIにより巧妙化
メール経由のサイバー攻撃は今も尚、衰えるところを知りません。IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」のビジネス部門において、「ビジネスメール詐欺(BEC)」は2018年から2025年まで毎年ランクインしています。
2025年は生成AIを利用したBECの増加が指摘され、9位となりました。BECは、取引先や上司を装ったメールを送り、振込指示や請求書の差し替えを行う攻撃手法です。巧妙な文面により、金銭的被害や情報漏えいを引き起こす事例が後を絶ちません。
多段階のソーシャルエンジニアリング攻撃も
2025年8月に、米国製造業を狙った「ZipLine キャンペーン」をセキュリティベンダーの Check Point 社が確認しました。この手口では、攻撃者はまず企業の問い合わせフォームから標的の企業に接触し、数週間のやり取りで信用を得た上で、悪意あるZIPファイルをメールで送付。
ZIP化することで検知を回避しつつ、信頼した受信者に自らファイルを開封させるという、心理と技術の両面を突いた極めて巧妙な手口です。
企業ができるメールセキュリティ対策
ここで、メールの基本的なセキュリティ対策をご紹介します。企業がまず取り組める一般的なセキュリティ対策は、以下の通りです。
- 多要素認証(MFA)の導入
- 送信ドメイン認証(SPF/DKIM/DMARC)の設定
- 定期的なセキュリティパッチ適用
- 従業員教育
多要素認証(MFA)の導入
メールアカウントへのログイン時、パスワードに加え、スマートフォンアプリや生体認証など複数の要素で本人確認を義務付けます。これにより、万が一パスワードが漏洩しても不正アクセスを防ぎ、アカウント乗っ取りのリスクを大幅に低減します。
送信ドメイン認証(SPF/DKIM/DMARC)の設定
自社のドメインから送られたメールが正規のサーバーを経由していることを証明します。これにより、第三者によるドメインのなりすましやフィッシングメールの送信を防ぎ、受信側でのメールの信頼性を高めます。
定期的なセキュリティパッチ適用
メールサーバーやクライアントソフト、OSなどに存在する既知の脆弱性をふさぐため、ベンダーが提供する修正プログラムを適用します。これにより、脆弱性を突いた攻撃やバックドアの設置を防ぎます。
従業員教育
フィッシングメールや標的型攻撃メールの手口を学び、不審な添付ファイルやURLを開かないための意識作りをします。最新の脅威動向を共有し、人的ミスによる情報漏洩やマルウェア感染という最大のセキュリティリスクを低減します。
巧妙化するメールの脅威に対抗するために
前述の4つの対策は、メールセキュリティの基本的な対策として必要不可欠です。しかし、残念ながら、これらの対策だけでは、BECや前述のZipLineキャンペーンのような高度なメール攻撃を完全には防ぎきれないのが現実です。
そこで、より高度なセキュリティ対策を講じるために、近年では多くのメールセキュリティに特化したサービスが登場しています。メールセキュリティサービス選定においては、特に以下の3つの要件を満たせるかどうかがポイントとなります。
- 添付ファイルの検査
- BEC・なりすまし対策
- スパムメール対策
添付ファイルの検査
高度なゼロデイ攻撃やランサムウェアには、メールの添付ファイルを自動解析するサンドボックス機能が有効です。
BEC・なりすまし対策
送信ドメイン認証に加え、メール本文の文脈やヘッダー情報をAIなどで詳細に分析することで、より高度な判定が可能となります。
スパムメール対策
スパムメールには、単なるプロモーション目的のものもあれば、マルウェアを配信することを目的としているものもあります。いずれの場合も、受信トレイを安全に保つために、最新の脅威パターンに対応できる高度なスパムフィルタリングが必要となります。
これらはすべて、攻撃が複雑化し巧妙に偽装される今、企業が自社のメールセキュリティを次の段階へ引き上げるために不可欠な要素です。
クラウドネイティブに対応したメールセキュリティサービスのご紹介
ここで、弊社が取り扱っているメールセキュリティサービスをご紹介します。
企業がクラウドメールを導入するにつれて、そのセキュリティ対策として、クラウドネイティブなサービスの需要が高まっています。クラウドメール環境では、クラウドネイティブに対応したメールセキュリティサービスの導入が有効です。
セキュリティベンダーのグローバルリーダーであるCheck Point社が開発した「Check Point Harmony Email & Collaboration」は、Microsoft 365・Google Workspaceに対応したクラウド型メールセキュリティサービスです。
前述の「添付ファイルの検査」「BEC・なりすまし対策」「スパムメール対策」に対応しているのはもちろんのこと、パスワード付きZIPファイルの検査(PPAP対策)も可能なサービスとなっております。パスワード付きZIPファイルの検査をすることで、ZipLineキャンペーンのような攻撃に備えることができます。
また、クラウドメール環境にシームレスに統合できるため、既存システムを変更せず導入可能。セキュリティ対策の負荷を軽減しながら、BECを含むメール脅威から企業を守ります。
まとめ|メールセキュリティは再注目の時代に
メールは今も尚、企業活動の中心的な役割を担っています。巧妙化するBECやZipLineキャンペーンのような多段階のソーシャルエンジニアリング型攻撃に備えるには、単なるスパム対策だけでは不十分です。メールセキュリティが再注目される今、高度なメールセキュリティ対策が可能なサービスの導入を検討してみるのはいかがでしょうか。