日本企業のメールセキュリティ対策調査結果　 40％以上の企業でメールセキュリティ改善が進まず 働き方変化に伴うセキュリティ強化を推進

株式会社デージーネット(本社：愛知県名古屋市、代表取締役：恒川 裕康)は、自社が無料で提供するメールサーバセキュリティ診断サービス『MSchecker( https://mschecker.jp/ )』において、2021年1月～2021年12月に実施したセキュリティ診断の集計を行いました。この集計結果をもとに、株式会社デージーネットはメールサーバの安全性について課題の傾向・考察をまとめた統計レポートを公表します。

【メールサーバセキュリティ評価】

■調査結果まとめ

・未だ43％の企業が、メールセキュリティを強化・改善する必要がある

・メールセキュリティ対策の改善が必要と判定された企業が対策を推進

・メールセキュリティ対策の改善が必要と判定されたメールサーバが10％減少

・個々のメールセキュリティ対策が少しずつ改善されたが全体的な改善は未だ進まず

※小数点以下を四捨五入しているため、合計は一致しない場合がある

■概要

デージーネットでは メールサーバのセキュリティ診断を行うMSchecker( https://mschecker.jp/ )での統計結果から、「改善が必要」と判定された企業のメールサーバが40％以上あることが分かりました。

「改善が必要」なメールサーバとは、最低限対策しておくべき「暗号化した通信でのメール送受信」や、「送信元ドメイン認証」の対策がされていないメールサーバです。

近年、テレワークやハイブリッドワークなど新たな働き方を狙った攻撃も増加しています。2021年にはメール経由で感染するマルウェア「Emotet(エモテット)」が再び活発化し被害も報告されています。そのため、企業は働き方の変化に合わせ、使用するメールサーバのセキュリティ対策をさらに強化していく必要があります。

そこで、デージーネットは日本企業のメールセキュリティ対策に警鐘を鳴らすべく、統計レポートを公表致します。

■統計結果(全ドメイン数：202)

デージーネットは、MScheckerを利用してメールサーバのセキュリティ診断を受けたドメイン(企業・個人含む)から、2021年1月から2021年12月末の診断結果の統計をまとめました。

■総合評価

MScheckerでセキュリティ診断を受けたドメインのうち、総合評価で「安全」と判定されたメールサーバは6％で、1年前の総合評価と比較しても変化はありませんでした。「改善が必要」とされていたメールサーバは、1年前と比較し10％減少しましたが、未だ40％以上の企業でメールセキュリティが不十分であるということが分かります。

さらに内訳を見てみると、「暗号化した通信でのメール送受信」または「送信元DNS逆引き」のいずれかを対策した企業が増えたものの、「送信元ドメイン認証」の対策は進んでいないことが明らかになりました。しかし、メールセキュリティ対策は、いずれかの対策を行うのではなく、両方の対策をしていく必要があります。(別章参照：「MScheckerについて」)

「送信元ドメイン認証」の対策がされていない場合、正当な送信者である証明ができないため、なりすましメールの送信者として詐称される可能性が高まります。その結果、なりすまされたメールにより、顧客がウィルスに感染したり、フィッシングメールの被害に遭う原因となり、送信側企業は信頼の失墜を起こすことになります。

また、「暗号化した通信でのメール送受信」の対策がされていない場合、メールの内容を改ざんされたり、第三者に盗み見される可能性があります。テレワークなど働き方の変化により、メールを用いて顧客情報や機密情報を取り扱うことが増え、盗み見からの情報漏洩のリスクも高まっていますので、早急な対策が必要です。

このように、メールセキュリティ対策が不十分の場合、自分の企業だけでなく取引先や顧客もウィルスに感染するなど、企業は社会的信頼の失墜を起こす可能性が高まります。このような事態を防ぐためにも、「改善が必要」とされた企業は、至急対策を行うべきです。

以下では、「改善が必要」と判定されたメールサーバの統計結果についてまとめています。

【総合評価】

■メールの盗み見を防ぐ「メール通信の暗号化」

「SSL/TLSメール送受信」(別章参照：「MScheckerについて」)では、暗号化した通信でメールを送受信できるか確認しています。メールを暗号化することで、第三者が盗み見ても、内容が分からないようにすることができます。メール相手が暗号化に対応していても、受信側で暗号化した通信が出来なければ、暗号化した通信とはなりません。そのため、第三者に盗み見られる可能性があります。

さらに、メールの内容を改ざんされる可能性もあります。その結果、送信者と受信者で齟齬が生じたり、受信者である取引先や顧客からの信頼を失うことに繋がりかねません。

こちらに関しては1年前と比較し、送受信ともに普及率が上がりつつあるものの、依然25％もの企業で改善が必要とされています。

■なりすましメールに対策する「送信元ドメイン認証」

「なりすましメール」を対策するには、メールの受信時に送信元ドメイン認証を行い、認証できないものは迷惑メールとして振り分けるという対策が有効です。この対策を行うためには、メール送信側が「送信元ドメイン認証」の設定を行う必要があります。

メール送信側が「送信元ドメイン認証」の設定をしていない場合、受信側のメールサーバがなりすましメールか否かの判定ができません。

例えば標的型攻撃メールは、対象となる企業を絞り込んで、特定の企業から重要な情報を盗むことを目的として送信されます。そのため、取引先や関係者になりすましてメールを送ってきたり、マルウェアを業務に関連のありそうなファイル名やリンクに偽装して送ってきます。

「送信元ドメイン認証」の対策がされていない場合、正当な送信者である証明ができないため、なりすましメールの送信者として詐称される可能性が高まります。その結果、自社になりすましたメールを顧客が関係するメールだと信じてしまい、マルウェアが仕込まれた添付ファイルを開封したり、リンクをクリックすることでウィルスに感染します。

ウィルスに感染すると、攻撃者に管理者権限を乗っ取られ、パソコン内のデータがすべて破壊される可能性があります。さらに、乗っ取ったパソコン内だけでなく、そこからネットワーク経由で繋がったサーバに侵入され、最悪の場合、企業の機密情報や個人情報が盗まれたり顧客情報の漏洩につながる可能性があります。

つまり、メールセキュリティ対策が不十分の場合、自分の企業だけでなく取引先や顧客もウィルスに感染するリスクも高まります。そして、受信者である取引先や顧客は、なりすまされた企業からのメールによってウィルスに感染するため、送信者側である企業は思わぬところで信頼の失墜を起こすことになります。

MScheckerでは、「送信元ドメイン認証」のチェックとしてSPFチェックとDKIMチェックのどちらかが設定されていることが安全と判定するための条件の一つとしています。しかし、統計結果を見るといずれも設定されていない「両方NG」と判定されたメールサーバが16％と、まったく改善が進んでいないことが分かりました。

■送信者の証明となる「送信元DNS逆引き」

「送信元DNS逆引き」では、メールサーバのIPアドレスをDNSで逆引きできるか確認しています。スパムメール等の迷惑メールは、送信元IPアドレスがDNS逆引きできない場合が多くあります。そのため、送信元IPアドレスのDNS逆引きが設定されていない場合、正当な送信者ではないと判定され、相手先のメールサーバ側で受信拒否の対象となる可能性があります。

つまり、「送信元DNS逆引き」は、相手に自分がなりすましではない、正当な送信者であることを証明するために必須となるセキュリティ対策です。

実際、統計結果では1年前と比較すると3％改善され、96％のメールサーバで対策されていることが分かります。

■考察

MScheckerを用いたメールサーバのセキュリティ診断では、「SSL/TLSメール送受信」や「送信元DNS逆引き」の対策を行う企業が少しずつ増えてきているものの「改善が必要」と判定されたメールサーバが40％以上あるということが明らかとなりました。

このことから、最低限対策しておくべきセキュリティ対策が一部分しかできていないということが分かります。メールセキュリティを強化するためには、複数のセキュリティ対策を組み合わせて実施する必要があります。

MScheckerの判定基準で「改善が必要」に含まれる「SSL/TLSメール送受信」「送信元DNS逆引き」「送信元ドメイン認証」の項目は、最低限対策しておくべき項目です。対策をしていない企業は、至急対策を行うべきです。

当社が提供するメールサーバセキュリティ診断『MSchecker』では、現在利用中のメールサーバのセキュリティをチェックするツールとしてMScheckerの運営を行っています。MScheckerでは、メールのセキュリティ項目を整理し、メールのセキュリティが適切な状態か、誰でも簡単に確認することができます。

■MScheckerについて

MScheckerでは、以下のことが無料でチェックできます。

・メールの通信が暗号化されているか(SSL/TLSメールの送受信)

・第三者によるメールの不正な中継が可能な状態になっていないか(メール不正中継)

・メール送信元がSPFレコードに登録されているか(SPFチェック)

・ドメインのDNSサーバに電子署名の公開鍵が正しく登録されているか(DKIMチェック)

・メールアドレスのドメインのDNS逆引きが正しいか(送信元DNS逆引き)

・ドメインのDNSサーバがDNSSECに対応しているか(DNSSEC対応)

・ドメインがDNSブラックリストに登録されていないか(DNSBL登録)

■MScheckerの判定基準

MScheckerにおける評価の種類と判定基準は以下の通りです。

【評価の種類】

安全

【判定基準】

メール不正中継OK

SPFチェックまたはDKIMチェックどちらかがOK

メール受信処理のSSL/TLSメール送信OK

メール送信処理のSSL/TLSメール送信OK

送信元DNS逆引きOK

DNSSEC対応OK

DNSBL登録OK

【評価の種類】

見直しを推奨

【判定基準】

DNSSEC対応NG

DNSBL登録NG

【評価の種類】

改善が必要

【判定基準】

SPFチェック、DKIMチェックどちらもNG

メール送信処理のSSL/TLSメール送信NG

メール受信処理のSSL/TLSメール送信NG

送信元DNS逆引きNG

【評価の種類】

危険

【判定基準】

メール不正中継NG

【SSL/TLS メール受信(メール受信処理)】

【SSL/TLS メール送信(メール送信処理)】

【送信者認証 SPF/DKIM】

【送信元DNS逆引き】

■デージーネットについて

株式会社デージーネットは、メールサーバの構築やコンサルティングを行っている会社です。オープンソースソフトウェア(OSS)を利用し、お客様のご要望に応じたシステムをご提案しています。これまでに、企業やISP向けに多くのメールサーバを構築してきました。診断結果を受け、メールサーバの改善を行いたい場合には、サーバのリプレースや改善コンサルティングについてご相談を受け付けています。システム導入後には、発見されたセキュリティホールの問い合わせにも対応しています。

■参考URL

【MSchecker】

・ https://mschecker.jp/

【デージーネットのシステム構築サービス】

・ https://www.designet.co.jp/system/

【デージーネットの導入後支援】

・ https://www.designet.co.jp/system/support/

■会社概要

会社名： 株式会社デージーネット

代表者： 代表取締役　恒川 裕康

本社　： 〒465-0025　愛知県名古屋市名東区上社四丁目39-1

資本金： 4,000万円

URL　 ： https://www.designet.co.jp/

＜一般の方からのお問い合わせ先＞

https://www.designet.co.jp/contact/