PR

 「私のメールアカウントは絶対に不正ログインされていません」。こう言い切れる人はどれだけいるだろうか。

 「Office 365」や「G Suite」といったクラウド型のメールサービスを利用する企業が増えている。日本マイクロソフトによれば、日経平均株価を構成する225社の約8割がOffice 365を導入しているという。メールサーバーを自社に設置・運用する手間を考えると、クラウド型に切り替える利点は大きい。しかも、スマートフォンやWebブラウザーでメールサーバーにアクセスする手段まで用意されている。働き方改革の機運が高まる中、社外からメールを利用できる利便性は欠かせない。

 その背後で高まってきたのが、不正ログインのリスクだ。クラウド型メールサービスの入り口まではどこからでもアクセスできる。入り口をパスワードだけで守っているケースが多いため、サイバー犯罪者がフィッシング攻撃やソーシャルエンジニアリングなど何らかの手段でパスワードを入手すれば、過去の送受信メールをすべて見られる状況になってしまう。

 「社内ネットワークにメールサーバーを置く場合に比べて、クラウド型メールサービスでは不正ログインに気づきにくい」。ある企業のセキュリティインシデント対策チーム(CSIRT)に所属するセキュリティ技術者はこう指摘する。犯罪者が不正ログインを試みる通信が社内ネットワークを通らないため、システム管理者が気づかない間に不正ログインされる例が多いという。

 本人やシステム管理者が気づかない間に、過去にメールでやり取りした個人情報や営業秘密などが犯罪者に筒抜けになってしまう。「社内メールだから」と思って漏洩リスクを考えずに送っていた情報も同様だ。さらに犯罪者は、本人になりすまして取引先にメールを送ることもできる。巨額の金を詐取するビジネスメール詐欺(BEC)や機密情報漏洩の温床となりかねない。クラウド型メールサービスのパスワードはそれほどまでに重い。

関連記事:メールが危ない