いまなら聞ける！

新社会人が知っておくべき
メールセキュリティの基本

宮田　健
＠IT編集部
2009/3/10

　メールなんて簡単？

　新社会人となる人ならば、すでに就職活動で電子メールを活用しており、ビジネスメールも問題なし、と考えている人も多いでしょう。

　しかし、ネットの世界ではあなたの心理のすきを狙う、攻撃者の存在を忘れてはいけません。彼らはあなたのクリックを誘うために日々工夫をしているのです。本記事では新社会人のために、メールのセキュリティという観点からの注意点を解説していきたいと思います。

　まずはメールを観察しよう

　あなたが職場に配属され、メールの設定が一通り済んだら「届くメールを観察する」ことをお勧めしたいと思います。ここでチェックしたいのは、その職場にどのくらいの迷惑メールが届いているかという点です。

　ほとんどの企業では、スパムメールやウイルスメールの対策が行われているかと思います。しかし業種により、一般的な受付メールアドレスを公開し共有している場合など、どうしても迷惑メールを受け取らざるを得ない場合もあるでしょう。まずはあなたのメールアドレスにどのくらいの頻度で迷惑メールが届くかを把握しておきます。

　迷惑メールが届く頻度が多い場合、注意しなくてはならないのは、あなたが送信したメールも「迷惑メール」扱いされる可能性があることです。これは社外へ送るメールにもいえることで、送信先の企業が「迷惑メールの多い会社」の可能性もあるため、あなたのメールが迷惑メールのように見えないよう、十分心掛ける必要があります。

届く迷惑メールを参考にして、似たようなタイトルにしないよう心がけよう
　×「【至急です】」
　×「今すぐ確認を！」
　○「△△商社の発注書を確認願います」
　○「ミーティングは13:00から会議室Aです」

　迷惑メールに見えるかどうかは件名で決まります。例えば「重要なお知らせです」「必ず読んでください」など、あいまいなものであると迷惑メール扱いではなかったとしても、「迷惑メールフィルタから漏れてしまったメールかも」と受け取られる可能性があります。まずは迷惑メールの件名をざっと見ておくと、自ずと「使ってはいけない件名」が見えてくると思います。それらとは異なる、明確な意味を持った件名を付けるよう心掛けましょう。

　また、HTMLメールを利用すべきかどうかも観察しておきましょう。社内から届いたメールにHTMLメールが見当たらなければ、あなたもHTMLメールを送るべきではありません。おそらく携帯電話のメールや個人で使うメールでは、表現力が高いHTMLメールを利用している方も多いでしょう。しかし、ビジネスの場では「相手の環境」も考えなくてはなりません。表現力が高いことは確かですが、相手が確実に読めるプレーンテキストのメールでの表現力をつけることをお勧めします。

　同じように相手の受信環境を考え、あまり大きなサイズの添付ファイルを送信しないように心掛けてください。企業によっては添付ファイルのサイズに制限をかけていたり、セキュリティ上そもそも圧縮ファイルを添付できない場合もあります。

【コラム】そのシグネチャ（署名）は長すぎない？

　もう1つ観察したいのは、メールの最後に付けられるシグネチャです。もしかしたらこのシグネチャに宣伝や座右の銘、アスキーアートなどを付けている方も多いかもしれませんが、インターネットメールの世界では、

シグネチャの1行目は「ハイフン」「ハイフン」「半角スペース」であること

4.3. Usenet Signature Convention

There is a long-standing convention in Usenet news which also
commonly appears in Internet mail of using "-- " as the separator
line between the body and the signature of a message. When
generating a Format=Flowed message containing a Usenet-style
separator before the signature, the separator line is sent as-is.
This is a special case; an (optionally quoted or quoted and stuffed)
line consisting of DASH DASH SP is neither fixed nor flowed.

The Text/Plain Format and DelSp Parametersより

全体で3～4行以内であること

signature

The three or four line message at the bottom of a piece of email
or a Usenet article which identifies the sender. Large signatures
(over five lines) are generally frowned upon. See also:
Electronic Mail, Usenet.

Internet Users' Glossaryより

とされています。シグネチャは必要以上にアピールするべきものではありませんので、上記のルールに従ったシンプルなものを設定するようにしましょう。

　メールアドレスを知らせなくてもスパムは来る

　ところで、なぜ迷惑メールはあなたのメールアドレスにやってくるのでしょうか。皆さんも迷惑メールが届くきっかけが何かは興味があるところでしょう。よくある例は「とあるサービスに会員登録したら、直後から迷惑メールが届くようになった」というものではないでしょうか。もちろんこのようなこともあります。かといって、「とある会社に名刺を渡したら直後から迷惑メールが届くようになった。あの会社の個人情報管理はどうなってるんだ！」と思わないようにすべきです。

　なぜなら、迷惑メールを送る「攻撃者」は、あなたのメールアドレスを「ディレクトリハーベストアタック」と呼ばれる方法で得ている可能性が高いからです。ディレクトリハーベストアタックとは、ユーザー名の辞書を使い、あなたの企業のメールサーバへ「総当たり」でメールを送信、エラーが返ってこなければ有効なメールアドレスとして迷惑メールを送るという方法です。このような方法を使うと、あなたのメールアドレスを誰にも教えていなくても、メールサーバが教えてくれるのです。

　攻撃者がメールアドレスを取得するために知恵を絞っているいま、迷惑メールが届かないようにすることは非常に困難です。そのため、迷惑メールは届くもの、という前提で対策を行うしかないのが現状です。ディレクトリハーベストアタックについても、「そのようなユーザーがいない」というエラーが頻発するような送信者が短時間に一定のアクセスを行った場合は応答を返さない、というような設定にすることで対策が行えます。もし頻繁に迷惑メールが届くようであれば、メールサーバの管理者と相談してみましょう。

【関連記事】

http://www.atmarkit.co.jp/fsecurity/rensai/mailsec02/mailsec01.html

電子メールセキュリティの基礎知識（2）
スパムメール対策――必要なメールを必要な人に - ＠IT via kwout

1/2

Index
新社会人が知っておくべきメールセキュリティの基本
	Page1 メールなんて簡単？まずはメールを観察しようメールアドレスを知らせなくてもスパムは来る
	Page2 メール本文にあるリンク、信用できるものですか？メール転送／誤送信という「情報漏えい事件」迷ったら聞く！

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。