いまなら聞ける!

新社会人が知っておくべき
メールセキュリティの基本


宮田 健
@IT編集部
2009/3/10


 メールなんて簡単?

 新社会人となる人ならば、すでに就職活動で電子メールを活用しており、ビジネスメールも問題なし、と考えている人も多いでしょう。

 しかし、ネットの世界ではあなたの心理のすきを狙う、攻撃者の存在を忘れてはいけません。彼らはあなたのクリックを誘うために日々工夫をしているのです。本記事では新社会人のために、メールのセキュリティという観点からの注意点を解説していきたいと思います。

 まずはメールを観察しよう

 あなたが職場に配属され、メールの設定が一通り済んだら「届くメールを観察する」ことをお勧めしたいと思います。ここでチェックしたいのは、その職場にどのくらいの迷惑メールが届いているかという点です。

 ほとんどの企業では、スパムメールやウイルスメールの対策が行われているかと思います。しかし業種により、一般的な受付メールアドレスを公開し共有している場合など、どうしても迷惑メールを受け取らざるを得ない場合もあるでしょう。まずはあなたのメールアドレスにどのくらいの頻度で迷惑メールが届くかを把握しておきます。

 迷惑メールが届く頻度が多い場合、注意しなくてはならないのは、あなたが送信したメールも「迷惑メール」扱いされる可能性があることです。これは社外へ送るメールにもいえることで、送信先の企業が「迷惑メールの多い会社」の可能性もあるため、あなたのメールが迷惑メールのように見えないよう、十分心掛ける必要があります。

届く迷惑メールを参考にして、似たようなタイトルにしないよう心がけよう
 ×「【至急です】」
 ×「今すぐ確認を!」
 ○「△△商社の発注書を確認願います」
 ○「ミーティングは13:00から会議室Aです」

 迷惑メールに見えるかどうかは件名で決まります。例えば「重要なお知らせです」「必ず読んでください」など、あいまいなものであると迷惑メール扱いではなかったとしても、「迷惑メールフィルタから漏れてしまったメールかも」と受け取られる可能性があります。まずは迷惑メールの件名をざっと見ておくと、自ずと「使ってはいけない件名」が見えてくると思います。それらとは異なる、明確な意味を持った件名を付けるよう心掛けましょう。

 また、HTMLメールを利用すべきかどうかも観察しておきましょう。社内から届いたメールにHTMLメールが見当たらなければ、あなたもHTMLメールを送るべきではありません。おそらく携帯電話のメールや個人で使うメールでは、表現力が高いHTMLメールを利用している方も多いでしょう。しかし、ビジネスの場では「相手の環境」も考えなくてはなりません。表現力が高いことは確かですが、相手が確実に読めるプレーンテキストのメールでの表現力をつけることをお勧めします。

 同じように相手の受信環境を考え、あまり大きなサイズの添付ファイルを送信しないように心掛けてください。企業によっては添付ファイルのサイズに制限をかけていたり、セキュリティ上そもそも圧縮ファイルを添付できない場合もあります。

【コラム】そのシグネチャ(署名)は長すぎない?

 もう1つ観察したいのは、メールの最後に付けられるシグネチャです。もしかしたらこのシグネチャに宣伝や座右の銘、アスキーアートなどを付けている方も多いかもしれませんが、インターネットメールの世界では、

  • シグネチャの1行目は「ハイフン」「ハイフン」「半角スペース」であること
    4.3. Usenet Signature Convention

    There is a long-standing convention in Usenet news which also
    commonly appears in Internet mail of using "-- " as the separator
    line between the body and the signature of a message. When
    generating a Format=Flowed message containing a Usenet-style
    separator before the signature, the separator line is sent as-is.
    This is a special case; an (optionally quoted or quoted and stuffed)
    line consisting of DASH DASH SP is neither fixed nor flowed.
  • 全体で3〜4行以内であること
    signature

    The three or four line message at the bottom of a piece of email
    or a Usenet article which identifies the sender. Large signatures
    (over five lines) are generally frowned upon. See also:
    Electronic Mail, Usenet.

とされています。シグネチャは必要以上にアピールするべきものではありませんので、上記のルールに従ったシンプルなものを設定するようにしましょう。


 メールアドレスを知らせなくてもスパムは来る

 ところで、なぜ迷惑メールはあなたのメールアドレスにやってくるのでしょうか。皆さんも迷惑メールが届くきっかけが何かは興味があるところでしょう。よくある例は「とあるサービスに会員登録したら、直後から迷惑メールが届くようになった」というものではないでしょうか。もちろんこのようなこともあります。かといって、「とある会社に名刺を渡したら直後から迷惑メールが届くようになった。あの会社の個人情報管理はどうなってるんだ!」と思わないようにすべきです。

 なぜなら、迷惑メールを送る「攻撃者」は、あなたのメールアドレスを「ディレクトリハーベストアタック」と呼ばれる方法で得ている可能性が高いからです。ディレクトリハーベストアタックとは、ユーザー名の辞書を使い、あなたの企業のメールサーバへ「総当たり」でメールを送信、エラーが返ってこなければ有効なメールアドレスとして迷惑メールを送るという方法です。このような方法を使うと、あなたのメールアドレスを誰にも教えていなくても、メールサーバが教えてくれるのです。

 攻撃者がメールアドレスを取得するために知恵を絞っているいま、迷惑メールが届かないようにすることは非常に困難です。そのため、迷惑メールは届くもの、という前提で対策を行うしかないのが現状です。ディレクトリハーベストアタックについても、「そのようなユーザーがいない」というエラーが頻発するような送信者が短時間に一定のアクセスを行った場合は応答を返さない、というような設定にすることで対策が行えます。もし頻繁に迷惑メールが届くようであれば、メールサーバの管理者と相談してみましょう。

【関連記事】

1/2

Index
新社会人が知っておくべきメールセキュリティの基本
Page1
メールなんて簡単?
まずはメールを観察しよう
メールアドレスを知らせなくてもスパムは来る
  Page2
メール本文にあるリンク、信用できるものですか?
メール転送/誤送信という「情報漏えい事件」
迷ったら聞く!

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間