インターネット環境とデバイスがあれば、いつでもすぐに情報交換ができるメール。その送受信の仕組みや特性を知ることで、メールのメリットだけでなく、どのようなセキュリティリスクがあり何を対策すべきかも見えてきます。本記事ではメールの定義や使われ方、メールの仕組みなどの基本を解説し、メールセキュリティの考え方を紹介します。
メールとは
メールの定義
メール(電子メール、email)とは、インターネット環境下でメッセージをやり取りするシステムのことです。パソコンやスマートフォン、タブレットなどのデバイスを使って、インターネットを経由して世界中のコンピュータとの間で情報を交換することができます。やりとりできる情報は文章(テキスト)だけでなく、文書ファイルや画像、動画などを添付ファイルにして送受信できます。
メールの起源
コンピュータ ユーザ間のメッセージという文脈でのメールという用語は1960 年代から使用されており、TSS(タイムシェアリングシステム)上でユーザ間のメッセージ交換が行われたことがメールの前身となりました。
その後、アメリカのコンピュータープログラマーのレイモンド・サミュエル・トムリンソン ( Raymond Samuel Tomlinson)がインターネットの前身であるARPANETシステムに最初の電子メールプログラムを実装したのがその始まりです。それまでは同じコンピュータを使用する人にしかメールを送れませんでしたが、@ 記号を使用してユーザ名とマシン名を分離識別することで、異なる端末間のメールの送受信ができるプログラムを開発したのです。
ネットワークの発展や拡張が続いてビジネス、政府、大学、防衛/軍事産業での利用が進みます。1990年代半ばのに登場したウェブメールと電子メールクライアントを皮切りに一般化されあらゆる環境に普及しました。そして2010年代以降のスマートフォン普及により、メールへの即時アクセスが可能になり、今や私達の生活やビジネスに欠かせないコミュニケーション手段の一つになっています。
メールの普及率
総務省の令和4年通信利用動向調査の結果によると、メールの送受信がほぼ全ての年齢層で高くなっているほか、ビジネスコミュニケーション手段の98.35%がメールという調査結果(一般社団法人日本ビジネスメール協会)もあり、メールの普及率はほぼ100%と言えます。
メールアドレス
メールアドレスは、@(アットマーク)の右側に書かれたドメイン名と、@の左側に書かれたユーザ名(メールアカウント)で構成されます。
メールアドレスの構成
ドメイン名は企業、組織、プロバイダーごとに割り振られている文字列・です。、ユーザ名は、ユーザ個人を特定するための文字列です。同一ドメインでは、重複したユーザ名を割り当てないようにしてアドレスが作られます。送信側のメールサーバ(DNSサーバ)では、メールアドレスのドメイン名を参照して、送信先のメールサーバを特定します。
メール送受信の仕組み
メールの送受信は、サーバを経由し、SMTP(Simple Mail Transfer Protocol)というプロトコルを使用して通信します。メールを郵便に例えると、メールが手紙、サーバが郵便局、SMTPが配達員です。手紙(メール)を作成し送信すると、郵便局(サーバ)にて選別され、配達員(SMTP)によって宛先に届く仕組みです。
郵便に例えたメール送受信のイメージ
SMTP
メールソフトから送信されるとクライアントから受け取ったメールを目的の受信サーバに転送します。郵便に例えると、投函された手紙を相手の最寄りの郵便局まで届ける機能のことです。
DNS
インターネット上のドメイン名を管理するシステムがDNS(Domain Name System)です。
ドメイン名とインターネット上の住所を意味するIPアドレスを相互に変換する役割を担うシステムです。
POP
SMTPから受け取ったメールをチェックして、メールアドレスごとに用意されたメールボックスへとメールを届け、メールをPCやスマートフォンなどのデバイス(ポスト)にダウンロードします。郵便に例えると、相手の最寄りの郵便局から相手の手元へ手紙を届ける郵便配達員に当たります。メールの構成要素
メールは「エンベロープ」、「ヘッダー」と「本文」で構成されています。
メールの構成
エンベロープ
エンベロープとは、メール配信時にサーバ間で伝達するデータのことで、送信者(MAIL FROM:)と宛先(RCPT TO:)の2つで構成されます。手紙で言うと、封筒に書いてある宛先や差出人名の部分です。このエンベロープデータが、メールサーバにメッセージの送り先を伝えます。
手紙を正しい住所へ届けるために郵便配達員が封筒の宛先を調べることと同じです。メール配信のプロセスでは、メールが別のサーバへ転送されるたびにエンベロープの破棄・差し替えが行われます。
多くの場合はヘッダーの情報と同じですが、必ずしも一致するとは限りません。受信者に見えるのはメールのヘッダーと本文だけで、エンベロープデータは見えないため、ここが偽装されていても気づくことができません。
ヘッダー
手紙の本文の宛名と差出人名に当たる部分です。エンベロープと同様に、ヘッダーも送信者と受信者に関する情報を示します。ヘッダーは、受信者がメールに返信したり、転送、分類、アーカイブ、削除できるように下記のようなオプションのフィールドを含んでいます。
From
送信者のメールアドレス。
To
受信者のメールアドレス。「To」・「CC」・「BCC」に指定されたメンバー全員にメールアドレスなどの情報が表示されます。送ったメールへ返信してほしい当事者を「To」に入れます。
Subject
メッセージの内容を簡潔に伝えるタイトル。メール本文の上に別行で表示されます。受信者はこのタイトルを見てメールの重要度を判断するため、キーワードを短く、的確に伝えるタイトルにすることが大切です。
CC(カーボンコピー)
メールのコピーを追加の受信者へ送れるようにするもの。「CC」に指定されたアドレスは、Toと同じくメールを受信したメンバー全員に表示されます。参考や情報共有のほか、「To」に設定した人へ送信したことを「CC」に入れたメンバーにも知らせたい場合に使用します。
Bcc(ブラインドカーボンコピー)
「CC」同様に、送信者がメールのコピーを追加の受信者へ送れるようにするものですが、「BCC」に指定された宛先は、送信者以外には表示されません。内容の共有はしたいものの、送信メンバー間で面識がない人や送信メンバーに他の人のメールアドレスを知らせたくない場合、共有程度で見ておいてほしい人がいる場合、一斉送信の際などに使用します。
本文
本文のフィールドには、送信者が送りたい情報(テキスト、リンク)を記載します。サイズ制限以内の容量で、ファイルを添付することもできプレーンテキストとHTMLの形式があります。プレーンテキスト形式のメールは、あらゆるデバイス、メールクライアントとの互換性があり、データ容量も軽く、ビジネスでの通常のメールのやりとりで使用されます。
HTML形式のメールは、文字のフォントや色・大きさを変えて読みやすくしたり、画像や動画を本文中に入れるなどデザインし、視覚的に魅力のあるメールにすることができます。しかし画像の読み込み等でデータが重くなったり、互換性のないデバイスやクライアントでは正しく表示されないケースなどもあります。
メールのメリット
行動喚起につながるスタンダードな連絡手段
メールは、相手が関心を持つ情報を適切なタイミングで送ることで、望ましい反応や行動を相手から引き出すことのできるコミュニケーション手段です。
いつでもどこからでも送受信可能
インターネットに接続されたデバイスがあれば、自宅、会社、出先など、場所を問わずどこからでもメールを読んだり書いたりできます。
すばやく作成でき、速く届く
シンプルな操作画面のため、誰でも簡単にスピーディにメールを作成でき、ボタンひとつですぐに送受信できます。郵便のように時間もかかりません。
保存性と検索性
消さない限りはいつでもどのデバイスでも過去のメールを読み返すことができ、キーワード検索で、必要なメールをすぐに探し出すこともできます。
フィルタリング可能
受信メールの内容に応じて、メールのラベル付けやアーカイブ、スパムメールの仕分け、スター付けなど、利用しているメールクライアントの設定に応じて自動的にフィルタリングが可能です。
大量配信、効果測定が可能(サービスの質向上)
サービス提供側からのメール活用においては、送信先に届いたメールがどの程度開封されているかや、本文中のリンクをクリックした人がどのくらいいるかなどのデータを取得できるため、メール配信結果を活用することでより良いサービス提供につなげることが可能です。
メールの脅威
手軽なコミュニケーション手段として定着しているメールですが、メールには多くの脅威が潜んでいます。
マルウェアの9割はメール経由で侵入
マルウェアは、コンピュータシステムに害を及ぼす目的で設計、作成されたソフトウェアです。マルウェアは、トロイの木馬、ワーム、コンピュータウイルスなどの種類に分類されます。
マルウェアの9割はメールの添付ファイルやメールのリンク先URL経由で侵入します。
マルウェアに感染したPCから他のPCやサーバに感染被害を拡大します。昨今のマルウェアには、PCやサーバなどのコンピュータを暗号化したりデータを盗むだしたりすることで、使用不能な状態にし、被害回復のために身代金を要求するランサムウェアが重大な被害を発生しています。2023年のランサムウェアの平均被害額は。2,386万円(JNSA)と報告されています。
なりすましメール(フィッシング攻撃メール)
なりすましメールは、スパムやフィッシング攻撃に用いられる迷惑メールの攻撃手法です。クレジットカード会社、銀行、大手ECサイト、通信事業などが実際に送信しているメールと見分けがつかないほど偽装したメールを送りつけ、メールの受信者に本物のメールと信じ込ませます。その結果、受信者はメールの内容を信じ込み、なりすましメールのリンク先から不正なWebサイトへアクセスし、ECサイトのID、パスワードの情報やクレジットカード情報を送信してしまうことによる詐欺被害が発生します。
詳しくは、フィッシングメールとは?被害事例と被害に遭わないための対策をわかりやすく解説をご覧ください。
標的型攻撃メール
特定の組織や人物を対象としたメールによるサイバー攻撃です。攻撃の対象者の同僚、社内のメンバー、取引先や顧客を装い、給与明細や見積書、提案書、取引に関する資料を装った添付ファイルやマルウェアに感染させる不正なURLを記載したメールを送りつけるサイバー攻撃です。マルウェア付きの添付ファイルをクリックしたり、不正なURL経由でマルウェアに感染し、内部の情報を盗み出します。
詳しくは、増え続ける標的型攻撃メールの受信を防ぐ対策とは? をご覧ください。
メールの誤送信、情報漏洩
サイバーソリューションズの調査によると、メールの誤送信した経験者は4人に1人でした。メールは、メール本文での情報伝達のみならず、ファイルをメールに添付して送信できます。メール送信に送信できます。
メールの誤送信は、宛先の間違い、誤った内容の送信、添付したファイルの間違いなどがあります。これらの間違いが組み合わさるケースもあります。メール誤送信の原因の多くは、メールクライアントによるメールの宛先の自動保管機能による送信先の誤選択があります。
企業におけるメールの誤送信は、情報漏洩、プライバシーの侵害などによる業務上のトラブルや法的なリスク、信用の失墜や経済的な損失などの重大な影響をもたらします。
メールを安全に利用するには
便利なメールには、多くの脅威が潜んでおり経済的、社会的な被害や被害が発生しています。便利なメールを安全に利用するためには、メールのセキュリティ対策が欠かせません。
危険なメールを受信しない
なりすましメール、ビジネスメール詐欺、標的型攻撃メールなどの危険なメールを受信しないために、メールの認証技術であるDMARC(SFP、DKIM)を導入することで危険なメールを受信しないように対策します。
マルウェアなどのメールの脅威を取り除く
メールに添付されたマルウェアを取り除くウイルス対策や、未知の脅威を防御するサンドボックスを導入します。また、メール本文のリンク先URLがマルウェアダウンロードさせる不正なサイトへのリンクかどうかをチェックする対策を組み合わせることも重要です。
ヒューマンエラーによるメール誤送信を防止する
メールの送信時に誤った宛先に送らないようにする、メールに添付したファイルが誤っていないかチェックすればメールの誤送信を防ぐことはできますが、ミスを防ぐことには限界があります。そこでメール送信時に、メール送信先が誤っていないか、添付したファイルに誤りがないか、といったセルフチェックや上長によるチェックする仕組みを導入することで人的ミスによるメールの誤送信を防止します。
メールを全て保管し監査する
メールのセキュリティ対策を導入してもセキュリティ被害や事故は発生します。意図せずミスや誤解によるトラブルも防ぎきれません。メールに関する事件や事故が発生した際に、事実関係を即座に確認し対処できるよう、送受信される全てのメールを保管(アーカイブ)しチェックできるようにする対策も欠かせません。
▼関連記事
DMARCとは? なりすましメールからお客様、取引先、従業員を守るために
ビジネスメール詐欺(BEC)、被害額は約4,050億円にも上る脅威と対策
迷惑メールとは?迷惑メールが届く原因、受信拒否や対処法をわかりやすく解説
メールを安全に使うためのソリューション
企業の業務アプリとして利用されているグループウェアの市場トップを占めるMicrosoft 365やGoogle Workspaceであっても、添付ファイル自動URL化機能・遅延送信やBCC強制変換のようなメールセキュリティ機能が十分ではありません。企業の情報資産をサイバー攻撃から守るために「情報漏洩対策」「標的型メール攻撃対策」「メールアーカイブ」「シングルサインオン」「アクセス制御」といったセキュリティ対策を付加することが不可欠です。それらMicrosoft 365/Google Workspaceの脆弱性を効率的に回避できるのが、サイバーソリューションズのCloud Mail SECURITYSUITEです。ご興味があればお気軽に下記からお問い合わせください。
月額200円でメールセキュリティ対策を実現できる法人向けソリューション
サイバーソリューションズが提供するCloud Mail SECURITYSUITE(CMSS)は、月額200円からMicrosoft 365やGoogle Workspaceの迷惑メールの受信を防御します。
CMSSは、受信する全てのメールをチェックします。DMARCによる、なりすましメールの受信防止、ビジネスメール詐欺やフィッシングメールの受信防止、ウイルス、マルウェア対策、迷惑メール対策、サンドボックス、受信時のPPAP対策も提供します。不動産最大手のレオパレス21様によるCMSS導入事例も併せてご覧ください。