ランサムウェアをはじめとして、企業に対する攻撃の起点は、ほとんどが「メール」によるものだ。企業もそれに備え、標的型メールの対策訓練などを実施して、社員に不正なメールの添付ファイルを開いたり怪しいリンクをクリックしたりすることでマルウェアをダウンロードしないよう、教育してきた。

だが昨今、攻撃者から送られてくる不正なメールは、一昔前のものとは比較にならないほど「完成度」が高い。日本語の文法や漢字の間違いはほとんどなく、自然に読めるメールが送られてくる。一般のビジネスパーソンが見ただけで、不正なメールを判断することはほぼ不可能だ。

加えて上原氏は、昨今の攻撃は不正プログラムをダウンロードさせるものだけではないと指摘する。前述したクラウドサービスの急拡大に対応し、ログイン情報を窃取するための「フィッシング」が増えているのである。

「怪しいファイルはダウンロードしないようにしましょうと言いながら、一方で、日常業務がリンク先のファイルのダウンロードによって成り立っている現実もあります。メールの観点からすると、非常にやっかいな課題が増えた印象です」（上原氏）

攻撃メールの偽装が巧妙になり、人の努力に頼るだけでは限界がある。そのため、新たにセキュリティツールを導入し、不正なサイトへのリンクを無効化するなどの対策も必要になってきている。

「メールが攻撃者の標的になっていることは確かです。経営者の方には、いま一度自社のメールセキュリティがどうなっているか、情報システム部門に確認することをお勧めします。例えば、なりすましメールを防ぐ仕組みはどうなっているか、あるいはフィッシングのリンクを無効にする仕組みはあるのかなどを確認し、共有することが、社員のセキュリティ意識を高める一歩になります。もちろん不足があれば、対策に向けた投資を検討すべきです」（上原氏）

複雑さを増すメールセキュリティだが、とくにセキュリティ対策に人員を割けない中小企業にとっては負担が増えていると思われる。だが上原氏は、対策が遅れているのは大企業でも同じだと言う。

「私が多くの企業の方々と話してわかったのは、セキュリティ対策のリソース問題は、大企業でも同じだということです。確かに大企業の本社は大組織で、セキュリティ部門にもかなりの人員が在籍していますが、実はその大きな看板の下には多数のグループ企業があり、グループ全体は、中小企業の集合体ともいえます」

実態は「1人情シス」、「ゼロ情シス」の子会社もある中、本社がグループ全体に1つのセキュリティガバナンスを効かせようとしても、徹底するのはかなり難しいというのである。

では企業は、メールを起点としたランサムウェアなどの攻撃から、どうやって企業のデータを守るべきか。

上原氏は、クラウドサービスの利用拡大が、セキュリティの底上げにつながると話す。「コロナ禍でリモートワークが進んだこともあり、クラウドのビジネス利用は急拡大しました。ランサムウェアは企業内のサーバーやPCに保存されているデータを標的にします。クラウドにデータを保存すれば、奪われるデータが社内にないため、攻撃を受けずに済みます」。

だが、クラウドサービスの利用には、別の注意点がある。それは、ユーザーのログイン情報（ID／パスワード）をしっかり管理することだ。フィッシング攻撃によって犯罪者にログイン情報を盗まれれば、クラウド上のすべてのデータが盗まれてしまう。「これからの企業のセキュリティは、クラウドサービスへのログイン情報を守ることが最重要テーマの1つになります」（上原氏）。

上原氏は企業に、メールセキュリティに対する考え方の見直しと、時代に合わせた強化を促す。

「メールは誰に読まれるかわからないものという過去の常識は変わりました。今は基本的に、メールをやり取りするときに、その中身が通信の経路の途中で誰かに読まれるリスクは、ほぼないと考えられます。そのため、添付ファイルを暗号化して、別メールでパスワードを送る、いわゆる『PPAP』は、まったく意味がなくなっています。古い知識はアップデートして、現実的な対応をするべきです」

一方で、メールの登場以来、変わっていない課題もある。それは、「送信者のメールアドレスは詐称することができる」という事実だ。上原氏は、いまだにこの弱点を知らない人が多いと嘆く。「送信者のメールアドレス詐称を防ぐ技術が数多く登場していますが、運用に問題があり、まだ広く使われるには至っていません」。

これが解決したとき、メールはさらに使いやすく、安全なものになるはずだと、上原氏は期待している。

「メールはもう古いと言う人もいますが、メールアドレスさえあれば、世界中どの国の人とでもやり取りができる通信手段であることに間違いはありません。したがって、どうやって安全に使っていくかを、皆で知恵を出し合って考え、努力するということが大事だと思います」