セキュリティ対策の第一歩は Outlook と Office の脱却から
サイバー攻撃の猛威が止まりません。 IPA 独立行政法人 情報処理推進機構が毎年発表している 「情報セキュリティ10大脅威」 の2023年版によれば、その順位は以下のようになっています。
| 順位 | 「組織向け脅威」 |
|---|---|
| 1 | ランサムウェアによる被害 |
| 2 | サプライチェーンの弱点を悪用した攻撃 |
| 3 | 標的型攻撃による機密情報の窃取 |
| 4 | 内部不正による情報漏えい |
| 5 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7 | ビジネスメール詐欺による金銭被害 |
| 8 | 脆弱性対策情報の公開に伴う悪用増加 |
| 9 | 不注意による情報漏えい等の被害 |
| 10 | 犯罪のビジネス化(アンダーググラウンドサービス) |
情報セキュリティの脅威は、年々増しています。組織を狙った被害では、特に標的型メール攻撃が増加しています。例えば、ランサムウェアによる被害では、 Emotet (エモテット)などのマルウェアをメールに添付して、受信者の感染をきっかけにシステムへの侵入が発生しています。また、海外で大量の仮想通貨がサイバー攻撃で盗まれた事件でも、そのきっかけは一人の社員がメールで受け取ったマルウェアでした。
多くの PC には、マルウェアが実行されると検知するエンドポイントセキュリティ対策が施されています。それなのに、 Emotet の感染拡大が止まらないのは、エンドポイントセキュリティ対策の盲点を突いた攻撃に原因があります。これまで多くの企業が当たり前のように使ってきた Outlook に代表されるメールには、そもそも深刻なセキュリティ対策の欠点があるのです。
Emotet 感染の典型的な経路
Emotet は、 Word や Excel のマクロとしてメールに添付されたファイルの中に隠れています。
過去に被害を拡大させたマルウェアの多くは、 Windows の実行形式型ファイル、いわゆる EXE ファイルとしてメールに添付されていました。また、フィッシング詐欺サイトからダウンロードされるマルウェアの多くも、 EXE ファイルでした。こうした EXE ファイルは、 PC で実行する前にダウンロードした時点で、エンドポイントセキュリティ ソフトが検知します。しかし、 Word や Excel のマクロは、文書ファイルやブックファイルを開くまでは機能しないので、エンドポイントセキュリティ対策では検知できません。そのため、 Emotet 感染を防ぐためには、メールの添付ファイルを疑ってかかる水際対策が必須となるのです。
しかし、 Outlook に代表される従来のメール利用では、その水際対策が困難になっているのです。 Outlook は、メールを送受信するためにメールサーバーと通信を行い、受信したメールを PC にダウンロードします。受信したメールに添付ファイルがあるときには、その添付ファイルも PC にダウンロードしなければ、開いて中身を見ることができません。ダウンロードした時点で、サイバー攻撃のリスクは高まってしまうのです。
こうした問題を根本的に解決するためには、 Outlook に依存するメール運用そのものを見直す必要があります。
Google Workspace の Gmail を活用した安全なメールへの切り替え
Outlook に依存しない安全なメール運用策として、 Google Workspace の Gmail というクラウドメールへの移行という解決策があります。 Gmail は、100%のクラウドメールです。 PC に Outlook がインストールされていなくても、 Chrome などのウェブブラウザだけでメールを送受信できます。すべてのメールが、 Google の管理するクラウドサービスにあるので、添付ファイルを PC にダウンロードするリスクが低減します。
さらに Gmail では、 Word や Excle に PowerPoint の添付ファイルを PC にダウンロードしないで、ウェブブラウザで閲覧できます。仮に、 Emotet に感染した Excel のファイルが添付されていても、ダウンロードする前に内容を確認して排除できるので、感染リスクは下がります。
それに加えて、 Gmail はスマートフォンからも利用できるので、柔軟な働き方へのデジタルトランスフォーメーションも加速します。 Outlook に依存した働き方では、過去に受信したメールを検索するためには、個人の PC に保存されているメールファイルを利用しなければなりません。
以前に取材した事例では、個人の PC に20Gバイトを超える Outlook のメールファイルが保存されていて、その PC が壊れるか盗まれてしまうと、その個人の業務が止まってしまう、という綱渡りの運用実態もありました。 BCP (事業継続性)という観点からも、深刻な経営課題となっていました。
それに対して、 Gmail のメールはクラウドサービスに保存されているので、どのウェブブラウザやスマートフォンからアクセスしても、過去に受信したメールは容易に検索できます。その利便性を実感してしまうと、逆に Outlook に戻るのは困難になります。
社員の中には、使い慣れた Outlook から Gmail の移行を嫌う人がいるかも知れません。そのときには、 IMAP (Internet Message Access Protocol:インターネット・メッセージ・アクセス・プロトコル)という接続方法を活用すると、 Outlook から Gmail を使えるようになります。 推奨できる使い方ではないのですが、 IMAP であればメールをクラウドに残しておけるので、 BCP 対策にはなります。
Google Workspace への完全な移行でセキュリティ対策を強化する
Outlook から Gmailへの移行に加えて、 Word や Excel などの OffIce アプリも Google Workspace の Google ドキュメントや Google スプレッドシートに乗り換えると、さらなるセキュリティ対策の強化につながります。
詳しくは、「デジタルオフィスの新常識」でも解説していますが、すべてがクラウドサービスで完結する Google Workspace ならば、マクロが実行される心配がなくなり、サイバー攻撃のリスクが低減すると同時に、ランサムウェア対策の強化にもつながります。
最近では、 Emotet も巧妙化して Word や Excel だけではなく、 OneNote にも潜んで攻撃を激化しています。多くの企業が、この20年間にわたり当たり前のように使ってきた Windows + Office という典型的な IT 環境が、サイバー攻撃にとって格好の標的になっているのです。だからこそ、古い IT を捨てて Google Workspace への完全な移行でセキュリティ対策を強化する必要があるのです。
