Eメールのない生活を想像できますか?
取引先や顧客とのコミュニケーション、ホテルの予約、買った商品が破損していたために店に苦情を送るなど、私たちはあらゆることにEメールを利用している。しかし、メールの安全性について考えたことはあるだろうか?
そして、どれだけの人々が 異なる年齢層から コミュニケーションは電子メールに頼っている:
- Z世代の94%
- ミレニアル世代の98%
- X世代の98%
- ブーマーズの95%
- そしてサイレント世代の90%でさえも!
それに加えて Eメールマーケティングが最も効果的なチャネルとして選ばれた ハブスポットの「State of Marketing Report 2022」で調査されたマーケティング担当者のコメントを見ると、多くの人が何年も前からEメールの死を予測していたにもかかわらず、Eメールマーケティングが繁栄している理由がわかります。
なぜ電子メールのセキュリティが重要なのか?
残念ながら、Eメールは犯罪者が企業を攻撃したり、一般ユーザーの個人データを盗んだりするための最も貴重な手段のひとつでもある。 CISCOの2021年サイバーセキュリティ脅威動向レポート によると、データ漏洩の約90%が電子メールによるフィッシングで発生している。
心配なニュースはこれで終わりではない:
- 毎日34億通のフィッシングメールが送信されている
- 2022年に 悪質なフィッシングメールが569%増加し、クレデンシャルフィッシング関連の脅威レポートが478%増加した。
- ビジネスメール侵害(BEC)攻撃が2022年に81%増加
- 適切なセキュリティ訓練を受けていない、 従業員の3人に1人がフィッシング詐欺に遭う
-
IT部門は15%のみ administrators enforce the use of two-factor authentication.
サイバー犯罪者はまた、現代人が非常に多くの電子メールを受信しており、受信したすべての電子メールを注意深く読み、スパムメールをチェックするのに十分な時間がないという事実を利用している。平均して毎日100~120通のメールを受け取る従業員にとっては特にそうだ。ビジネスメールであれ、個人的なメールであれ、安全性が要求されるすべてのメールをチェックする時間が誰にあるだろうか?
そのため、ちょっとしたソーシャル・エンジニアリングで、犯罪者はすぐにフィッシング・リンクをクリックさせたり、悪意のある添付ファイルをダウンロードさせたりすることができる。これは、ハッカーが従業員が使用するビジネスフォンをターゲットにしていることに加えて、次のようなものである。 VOIPシステム .
幸いなことに、メールの受信トレイを守るために、そして個人データやビジネスデータを守るために、簡単にできることがいくつかある。そこで、サイバー犯罪者の「仕事」をより難しくする8つのメールセキュリティのベストプラクティスを見てみよう。
強力なパスワードを作成する
強力なパスワードを使用することは、ハッカーからメールアカウントやその中の個人情報を守る最善の方法の一つです。ここでは、パスワードのセキュリティ基準を高く保つ方法をいくつかご紹介します:
- 明らかな個人情報や一般的な言葉を使用しない
- 文字、数字、記号が混在していること
- 少なくとも10文字以上(専門家は14~16文字を推奨)
とはいえ、私たちが使っているオンライン・アカウント(プライベートと仕事の両方)の数を考えると、20ほどの複雑なパスワードを作成し、それを覚えておくのはかなり厄介なことだ。
ここで パスワード管理ツール は非常に便利だ。これらのツールは、アプリケーションごとにユニークで、ブルートフォース(総当たり)するのが非常に難しいパスワードを生成し、データベースに保存することができる。
また、現在人気のあるオプションとして、パスフレーズ(ランダムな文字ではなく、単語の文字列で作られたパスワード)がある。パスフレーズは通常、通常のパスワードよりも長いため、ブルートフォース(総当たり)されにくい。さらに、パスフレーズを使えば、記憶に残りやすいが安全なパスワードの作成も簡単になる。
自分のパスワードの安全性を確認するには Security.orgの パスワードの安全性 これは、あるアカウントでの様子です:
アカウント間でパスワードを再利用しない
パスワードの再利用もまた、広く蔓延しているセキュリティ問題である。例えば、First Contactの調査では、以下のことが判明している。 51%の人が、仕事とプライベートのアカウントで同じパスワードを使用している。
さらに悪いことに、70%のユーザーが、このような事態に陥っているのだ。 パスワード流出 はまだそれを使っていた!
これがなぜ良くないかというと、理由は簡単だ。サイバー犯罪者は、どれだけの人がパスワードを再利用しているかをよく知っているので、1つのパスワードでいくつのアカウントを解除できるかを常にチェックしている。例えば、1つのパスワードを5つの個人アカウントに使っている場合、パスワードが漏れると5つのアカウントすべてが危険にさらされることになる。
ビジネスとプライベートのアカウントで同じパスワードを使用することは特に危険です。この方法では、ハッカーはあなたの仕事用のEメールの受信トレイ、そしてその中のデータにすぐにアクセスできてしまうからです。企業メールのセキュリティは、あなたが個人的に使用するメールとは大きく異なり、仕事関連のメールに悪意のあるコンテンツは、あなたの個人的なメールにナイジェリア詐欺よりもはるかに悪いです。
多要素認証を使用する
また、アカウントの安全性という話題のついでに、追加の認証手段を追加することで、アカウントの安全性を目に見えて高めることもできる。2FAとMFAを使えば、たとえハッカーがログイン名とパスワードを盗んだとしても、追加のセキュリティ・チェックで身元を確認するまではメールボックスにアクセスすることはできない。
2FAを導入し、ログインのたびにユーザーに2FAの使用を義務付けた後、 グーグルによると、50%によるアカウント侵害が減少したという。
例えばGmailのようなアカウントに追加するにはどうすればいいのでしょうか?実はとても簡単だ。あなたの個人アカウントを2FAで保護するには、次のことが必要です:
- Googleアカウントを開きます。
- ナビゲーション・パネルで「セキュリティ」を選択する。
- Googleへのログイン」で「2段階認証」を選択し、「開始」をクリックします。
- 画面の指示に従ってください。
一方、ビジネスアカウントについては 2FAオプションは管理コンソールのMenu →以下の項目にあります。 セキュリティ→認証→2段階認証。 そこから、MFAを全ユーザーに必須にするか、特定のグループだけにするか、どのような方法で認証するかを設定することもできる。
Gmailのような電子メールシステムは、不審なアクティビティにフラグを立て、電子メールのコンテンツを閲覧させる前に2要素認証を行うよう求めます。あなたが実際にログインしようとしている人であれば、数秒でログインすることができます。これにより、多くの電子メールの脅威を防ぐことができます。
Eメールセキュリティのベストプラクティスについて従業員を教育する
どんなに複雑なパスワードを設定し、何度もセキュリティ・チェックを行っても、従業員が自分のアカウントを保護することがなぜ重要なのかを知らず、理解していなければ、あまり役には立たない。 ベライゾン・データ侵害報告書(DBIR)2023年版 によると、ユーザーの不注意が98%のデータ漏洩の原因であり、サイバー犯罪者はこれを利用する方法を熟知している。
定期的なサイバーセキュリティ・トレーニング その一環として 継続的パフォーマンス管理 は、従業員にデータ漏洩の結果と、それを防ぐために何ができるかを教える優れた方法です。会社のメールセキュリティポリシー、従業員が遭遇する可能性のあるメールセキュリティの脅威、従業員のアカウントを保護するための推奨ベストプラクティスなどについて、従業員と話し合う際に活用できます。
例えば、電子メールの暗号化の重要性、不審な電子メールを開かないこと、公衆無線LANから電子メールにアクセスしないことなどを教えることができる。また、迷惑メールを開かないこと、ウイルス対策ソフトを使うようにすること、一般的には知らない送信者に気をつけること。
サイバーセキュリティ・トレーニングは、情報漏えいがすでに起きていることに気づいたときに従業員がどのように対応すべきか、また、情報漏えいを誰に知らせるべきかについて従業員を訓練するのにも最適です。その結果、情報漏えいを迅速に食い止めることができ、情報漏えいによる被害も減らすことができます。
メールの添付ファイルや不審なリンクに注意
94%のマルウェアが電子メールで配信される – 本物そっくりの添付ファイルや、一見評判の良さそうなウェブサイトへのリンクを通じて。Gmailのアルゴリズムやマルウェア対策ソフトは、ほとんどの不審な添付ファイルやウェブサイトを発見し、ブロックすることができるが、より巧妙な攻撃の中には、レーダーをかいくぐってしまうものもある。
そのため、一般ユーザーや従業員は、添付ファイル付きの電子メールを受け取ったり、含まれているリンクをクリックするよう促されたりした場合には、用心深くなる必要がある。ここでは、添付ファイルやリンクがハッカーからのものである可能性を示すいくつかの兆候を紹介します:
- ファイルの拡張子がファイルの種類と一致しない(たとえば、doc.exeのように拡張子が二重になっていたり、実行可能な拡張子しかなかったりする)。exe、jar、rar/zipなどの拡張子で終わる添付ファイルを受け取った場合は、特に疑う必要があります)。
- 送信者のアドレスが、そのウェブサイトやメールリストにあるアドレスと微妙に異なっている。
- 一見、信頼できる情報源(銀行など)から発信されているように見えるメールに、スペルミス、文法ミス、書式ミス、誤字脱字がある。
- このメッセージは、添付ファイルを開くか、リンクをクリックするよう促すもので、さもなければ、何らかの結果に直面する可能性があるからだ(悪名高い「あなたのクレジットカードは間もなくブロックされます」はその最たる例である)。
安全な側にいるためには、疑わしいメールは必ず送信者に電話で問い合わせ、受け取った添付ファイルはすべてスキャンしてウイルスやマルウェアに感染していないか確認するのが一番だ。あるいは、差出人名やリンク、メッセージの一部をコピーして検索エンジンにかけることもできる。
アンチウイルスまたはアンチマルウェアプログラムを定期的に更新する
最新のマルウェア対策ソリューションは、ウイルス、トロイの木馬、マルウェア、ランサムウェア、そして不審なウェブサイトなど、数多くの脅威からあなたのデバイスを守ることができる。ただし、定期的なアップデートが必要です。サイバー犯罪者は、事実上毎日、デバイスを攻撃し、データを盗むための新しい方法を発明しています、 新たに56万個のマルウェアが検出される。
もしあなたが使っているウイルス対策プログラムが定期的にアップデートされていなければ、新しい脅威を見落としてしまうかもしれない。
一般的なサイバーセキュリティ・プラットフォームのほとんど のような クラウドストライクまたはその代替案 アップデートを自動的にインストールするオプションがあるので、プラットフォームを常に最新の状態に保ちたい場合は、このオプションにチェックを入れる価値がある。
電子メール認証プロトコルを使用する
仕事用のドメインに認証プロトコルを導入することで、アカウントの安全性を高め、さまざまな形式の識別を通じて悪意を特定することもできる。
電子メール認証プロトコルは、電子メールが正当な送信者から送られているかどうかを確認することで、フィッシング攻撃、電子メールなりすまし、BEC攻撃を防ぐために設計されました。より簡単に言えば、これらのプロトコルは、最新のマーケティング・キャンペーン・メールが貴社から送信されたものなのか、それとも誰かが貴社ブランドになりすまして送信したものなのかをチェックします。
現在、3つの認証プロトコルがある:
- SPF (送信者ポリシーフレームワーク) 送信者のIPアドレスを調べ、各メールが信頼できるIPアドレスから送信されていることを確認します。
- DKIM (Domain Keys Identified Mail) – ドメインキー識別メール。 は、公開鍵/秘密鍵暗号化を使って電子メール・メッセージに署名し、メッセージが改ざんされていないことを証明する。
- DMARC(Domain-based Message Authentication Reporting and Conformance:ドメインベースのメッセージ認証報告および適合性)-。 は、メールが配信される前にSPFとDKIMを満たしていることを確認します。
これらのプロトコルを使用することで、あなたのドメインがなりすましの被害に遭うことはなく、間違いなくあなたからのメールであることを顧客や購読者に安心させることができます。これらのプロトコルの他の利点については、以下の記事でご紹介しています。 認証方法 だから、それも読んでおくといいかもしれない。
キャンペーンを郵送する際は、リストがクリーンであることを確認してください。
最後のヒント – 定期的に Eメールリストをきれいにする。
メールリストスクラビングが、配信率を上げ、ドメインレピュテーションを改善し、ROIを向上させるということは聞いたことがあるでしょう。実はたくさんあるのです!メールリストのアドレスを調べることで、非アクティブなアドレスや古いアドレス、またスパマーやISPのものである可能性のある不審なアドレスを見つけることができます、 スパマーを見つけて処罰することを目的としている。
そのようなドメインにメールを送信していることが発覚した場合、あなたのドメインのレピュテーションが下がる可能性が高く、最悪の場合、ブラックリストに載る可能性さえあります。
しかし、何日も(あるいはそれ以上)かけて手作業で検証することなく、リストにある有害なメールをすべて見分けるにはどうすればいいのでしょうか? 用心棒のメール確認 ツールはここで手を貸すことができる。
あなたのEメールリスト(最大250kアドレス)をアプリに追加するだけで、BouncerはどのEメールが実際のユーザーのものか、Eメールがバウンスする可能性はどのくらいかを表示し、あなたにも表示します:
- 漏洩またはハッキングされた電子メールアドレス
- 無効なアドレスまたはドメイン
- スパムトラップ など。
また、Bouncerはメールの有害度(1~5)を採点するので、どのアドレスをすぐに削除すべきかがわかります。
便利そうでしょう?それなら バウンサーを使うのはどうだろう 次のメールキャンペーンのためにクリーンなEメールリストがあれば、Eメールドメインを保護しながら、次のキャンペーンを成功させることがこれまで以上に簡単になります。
メールアカウントを強化する時
プライベートやビジネスのメールアカウント(およびその中のデータ)をサイバー犯罪から遠ざけるためには、できる限りの安全対策を講じ、悪意のある活動や潜在的な脅威、不審なメッセージに悩まされることから決別する必要があります。
強固で定期的に変更されるパスワード、多要素認証の追加、ウイルス対策ツールの定期的な更新、フィッシングや感染への注意は、アカウントの安全性を確保する上ですべて重要です。
また、アカウントのセキュリティが強化されているため、フィッシング攻撃や不正侵入の試みを簡単に撃退することができます。
よくある質問メールセキュリティのベストプラクティス
プロフェッショナル・メール・アカウントを保護するには?
あなたのアカウントをより安全にする最善の方法は、使用している各アカウントに強力でユニークなパスワードを使用することです。また、二要素(またはそれ以上)認証を有効にして、セキュリティのレイヤーを増やすのも賢い方法です。Exchangeオンライン・メールを使用している場合は、信頼性の高い Microsoft 365用データバックアップソリューション 潜在的なデータの損失や破損から保護する。
フィッシング攻撃を見分け、回避するには?
一見すると本物のEメールにそっくりですが、実はフィッシング・メッセージには見分けやすい特徴がいくつかあります。最も特徴的なのは、個人情報や金銭的な情報を緊急に要求し、それに応じなければ深刻な結果を招くかもしれないと脅すことだ。
このようなメール(例えば銀行を名乗るもの)を受け取った場合は、まず送信者のメールが正しいかどうかを確認する必要がある。犯罪者は通常、信頼できるドメインに似ているが、1つ以上の相違点(例えばドメイン名が異なるなど)があるメールを使用する。
メールにスペルミスや文法ミスがあったり、ロゴがおかしく見えたりしたら、それも疑ったほうがいい。
多要素認証とは何ですか?なぜ電子メールに使用する必要があるのですか?
多要素認証 (MFA)は、ログイン時に2つ以上の異なるタイプの認証要素を要求することで、メールアカウントに追加のセキュリティレイヤーを追加します。例えば、パスワードとワンタイム認証コード、信頼できるデバイスからの確認、指紋スキャンなどです。
MFAを使用することで、パスワードが漏洩した場合でも、誰かがあなたのメールボックスにアクセスするリスクを大幅に減らすことができます。
企業向けの具体的な電子メール・セキュリティ対策はありますか?
ビジネスメールアカウントのサイバーセキュリティポリシーを作成し、従業員向けに定期的なセキュリティ意識向上トレーニングを実施することは、全従業員が自分のアカウントやデバイスをサイバー脅威から保護する方法を知るための素晴らしい方法です。
ポリシーの中には、従業員がどのようにして強固なパスワードを作成するか、いつ、どのように私物のデバイスを業務に使用するか、受信した添付ファイルを開く際のガイドラインなどを概説することができる。