メールによるサイバー攻撃の脅威には、ビジネスメール詐欺、フィッシングメール、標的型攻撃メール、なりすましメール、マルウェアの送受信、スパムメールによる感染など様々な種類があります。また、日本国内のビジネスにおけるメールの利用率は「98.35%（※1）」と高いため、攻撃対象として狙われやすくなっています。IPAが「情報セキュリティ10大脅威2024（組織）」で発表したランキングを見ても、10項目中6項目（赤字標記）がメールに関連した被害です。

出典：情報セキュリティ10大脅威2024（組織）

ここで注目したいのが、「不注意による情報漏えい等の被害（緑字表記）」です。

これは2016年度から6年連続でランクインしており、2023年は第9位でしたが、2024年度は第6位に順位があがっています。悪意の無い従業員の不注意で、意図せず起きてしまった情報漏洩であっても、当然社会的信用の失墜、経済的損失、漏洩した情報の悪用による二次被害等につながってしまいます。

不注意による情報漏洩の要因は、多忙等により、従業員の注意力が散漫になることで、結果としてメールの誤送信（宛先誤り、To/Cc/Bccの設定間違い、添付ファイル間違い等）につながります。

※1　出典：一般社団法人日本ビジネスメール境界「ビジネスメール実務調査2023」

　次に、IPAの「情報セキュリティ10大脅威2024（組織）」で第1位だったランサムウェアについて、国内の被害状況を見ていきましょう。令和5年の被害件数は197件（令和5年上期：103件、下期：94件）でした。令和4年の230件（令和4年上期：114件、下期：116件）と比べるとわずかに減っていますが、200件近くの被害があり、高止まりしています。

このデータを読み解くに際して、ひとつ注意が必要な点があります。ランサムウェアによる被害のほか、最近の事例では、企業・組織等 のネットワークに侵入し、データを暗号化する（ランサムウェアを用 いる）ことなくデータを窃取した上で、企業・組織等に対価を要求するノーウェアランサムによる被害が、新たに30件確認されています。この、「ノーウェアランサム」による被害件数は、令和５年におけるランサムウェア被害の報告件数（197件）には含まれていないため、この数を含めると令和4年の被害件数とほぼ同等になります。

出典：警視庁、令和5年におけるサイバー空間をめぐる脅威の情勢等について

ランサムウェアによる被害（197件）の内訳を企業・組織等の規模別にみると大企業は71件、中小企業は102件であり企業の規模を問わず被害が発生しています。また、業種別にみると製造業は67件、卸売・小売業は33件、サービス業は27件となっており、その業種を問わず被害が発生しました。

出典：警視庁、令和5年におけるサイバー空間をめぐる脅威の情勢等について

従来のフィッシングメールやなりすましメールは、不自然な日本語で届くことが多かったため、人間の目で見破ることが比較的容易でした。しかし、生成AI登場後は被害件数が増えています。この状況を鑑みると生成AIを活用した攻撃が発生していると疑わざるを得ません。生成AIで自然な日本語でなりすましメールを作成された場合、もはや人間の目では見破るのは難しい状況となっています。

攻撃者側がなぜ、メールで攻撃を仕掛けてくるのかという理由についても整理しましょう。

①安価なコスト

攻撃者はメールを送付するだけなので、攻撃者側のコスト負担が少なく済む

②プログラムでの自動送信が可能

複数の相手先に一括でメールの送信が可能で、送信先に応じて、件名や文面の変更がプログラムで自動化できるので、手間が掛からない

③送信先メールアドレスの入手が容易

メールアドレスを購入する、またはクローラーなどを用いて容易に入手が可能

以上の3点から、攻撃者にとってメールで攻撃を仕掛けるということは、コストパフォーマンスがよく、手間が掛からないため、外部からの攻撃にメールが活用されているのだと推測できます。

近年、Microsoft 365が狙われる事例も多いという声をよく耳にします。

①法人でのMicrosoft 365の利用率が高い

キーマンズネット社の調査（※2）では、Microsoft 365の利用率は、法人全体で71%を占めており、各企業や組織で最も利用されているクラウド型メールツールであるということが要因の一つです。

※2　出典：「Microsoft365」と「Google Workspace」の利用状況（2023年）/前編

②ファイルのすり抜け

攻撃者はメールフィルターをすり抜けるパターンを分析して、攻撃をしかけてくるため、チェックをすり抜けてしまうケースが多いようです。また、Microsoft 365はグローバルに展開しているサービスのため、英語の判定に比べて、日本語の判定は得意ではありません。

③標準導入の場合、未知の攻撃に対する防御が弱い

Microsoft 365を標準利用している場合についてですが、攻撃者も未知のマルウェアを含む攻撃を仕掛けてきます。その場合は、未知のマルウェア、攻撃などのパターンに標準導入の場合は対応できないため、すり抜けやすいというのが現状です。Microsoft 365単体でのメールセキュリティ強化の場合は、EOP（Exchange Online Protection）やMicrosoft Defender for Office365での対応が必要となります。

ここまで、メールセキュリティトレンドについて見てきました。メールに起因するセキュリティインシデントの原因は、主に外部からの攻撃と内部（従業員）の不注意に大別されます。ランサムウェアやなりすましメール、BEC、Microsoft 365を狙った攻撃は外部からの攻撃に、不注意による情報漏洩は内部（従業員）の不注意に該当します。

こうした外部と内部の双方の問題に有効なメールセキュリティ対策が「IIJセキュアMXサービス」です。

IIJセキュアMXサービスが上記の問題に有効なポイントは3点です。

①フィルタリングエンジンの精度
②誤送信対策
③サポート

①フィルタリングエンジンの精度

IIJセキュアMXサービスのフィルタリングエンジンは複数社のエンジンを組み合わせた多段エンジンを採用しています。各エンジンの強みを活かした多重検査により、非常に高精度なウイルスの検知・駆除が可能です。また、各エンジンの検知精度を常に監視しており、特定ベンダーの検知精度が劣化した場合は、変更できるようにしています。国内で懸念されることが多い誤検知を極力抑えられるよう、日々チューニングを行っている点も特長の1つです。さらにオプションでサンドボックスや脱PPAP等を提供しており外部からの攻撃に対してさまざまな機能を提供しています。

②誤送信対策

誤送信対策は、送信先や添付ファイルを誤ってメールを送ってしまった場合のリスク対策機能です。本来送るべき相手ではない第三者に重要な情報を送ってしまったら、企業の信用に関わる問題となるリスクがあります。情報漏えいを抑止する上で、誤送信対策は非常に有効です。

IIJセキュアMXサービスでは、これら誤送信対策に関する機能も充実しています。送信メールを一定時間留め置き、送信先に間違いがないか確認を促した上で送信する「送信一時保留」、添付ファイルを自動で暗号化する「添付ファイル暗号化」、送信先やメール本文の内容、添付ファイルの有無などによりルールを定めてメール送信を制御する機能などがあります。　

外部脅威対策だけでなく、国内企業に求められる誤送信対策、情報漏えい対策もまとめて実現することができます。

③サポート

IIJセキュアMXサービスは、オンプレミスや既存のメールセキュリティサービスからの移行も簡単に行えます。対象となるメールアドレスをExcelファイルなどにまとめておけば、一括で取り込みができます。DNSレコードを変更すれば、最短翌日にはサービスを使い始められます。国内シェアNo.1（※3）で、導入実績は国内2,500社以上。10年以上提供する中で、導入企業の多くが「手軽さ」「フィルタリング精度の高さ」「運用の容易さ」を高く評価しています。

※3　富士キメラ総研 月刊BT 2019年9月号 「クラウド型メールセキュリティサービス市場調査」（2018年度金額ベース）

まとめ

2024年版の最新の攻撃や情報漏洩の傾向はいかがでしたでしょうか。マルウェア感染やランサムウェア、ビジネスメール詐欺はもはや大企業の問題だけではなく、中小企業にも波及しています。本資料の2ページ目で見た警察庁の発表データからも分かるように、ランサムウェアについては大企業よりも中小企業の方が感染社数は多いことが明らかになっています。これらのリスクから自社を守るために最新の攻撃や情報漏洩の傾向を把握し、セキュリティ事故から企業を守るために必要なメールセキュリティを導入することで、事前の対策を講じていきましょう。

Microsoft 365に関するホワイトペーパー

・誰でもわかる「セキュアMX」で実現する統合メールセキュリティ対策

　⇒ https://www.alsi.co.jp/resources/whitepapers/cls-06

・【フィッシング撲滅の切り札】なりすましメールの脅威から自社・顧客・取引先を守る「DMARC」

　⇒ https://www.alsi.co.jp/resources/whitepapers/cls-08