第68話 中小企業がまずやるべきセキュリティ対策とは

取引先に迷惑をかけるメールサーバ踏み台

中小企業のセキュリティ対策は何を最も優先度高く守る必要があるのだろうか。
業種、企業規模、業務形態によりそれぞれであろうが、「取引先大企業への攻撃の踏み台にならない」という点は、見逃されがちであり、かつ重要なポイントだ。

２０２２年５月にIPAから発表された「2021年度中小企業における情報セキュリティ対策の実態調査報告書」にもこのように記載されている。

企業や組織を狙うサイバー攻撃が日常的に発生するなか、昨今では情報セキュリティ対策が強固な大企業ではなく、同一のサプライチェーンを構成する中小企業等の取引先を経由して目的企業を攻撃する事例も報じられています。中小企業は、サイバー攻撃により取引先企業の機密情報が漏えいするだけでなく、次なる攻撃の足掛かりとされる可能性があることを念頭に置き、適切な情報セキュリティ対策を実施することが重要です。

https://www.ipa.go.jp/security/fy2021/reports/sme/index.html

攻撃者が狙いを定めた中小企業のメールサーバ

中小企業経営者が、セキュリティ対策として「自社が踏み台にならないこと」の優先度が高い理由の一つは、攻撃者の手口が「取引先踏み台経由マルウェア」にシフトしていることにある。

大企業社員のPCに入り込むのにもっとも有効な手口の一つが、なりすましメールによるマルウェア感染である。
そしてこの時、そのなりすましメールが巧妙であればあるほど、大企業社員がうっかり添付マルウェアを実行する確率は高まる。
大企業に比べて、取引先中小企業はセキュリティが甘いケースが多いだろう。攻撃者にとっては、中小企業のメールサーバは格好の踏み台に見えることだろう。

メール乗っ取りの被害は思ったより多い

二つ目の理由は、実際攻撃者による「なりすましメール攻撃」の件数が多いということだ。
IPAが８月に発表した「コンピュータウイルス・不正アクセスの届出事例[2022 年上半期(1 月~6 月)]」によると、脆弱性攻撃（マルウェア感染含む）や認証突破攻撃の被害の半数以上が、自社のメールサーバが踏み台にさせられている。

・脆弱性攻撃　６６.４％
・認証突破攻撃　５６.３％

脆弱性攻撃や認証突破攻撃の対象は、自社内の機密であることより、その企業のメールサーバであることが多いのだ。
メールサーバを乗っ取り踏み台にすることで、本丸への攻撃をより確度の高いものとするためだ。

「そもそもセキュリティ対策ができてる会社なの？」

三つ目の理由は、あなたの会社の信用のためである。
メールサーバ踏み台攻撃では、踏み台にされた企業は気が付かないことが多い。取引先から「おたくの会社から大量の不正メールが送りつけられている」と問い合わせがあり発覚することが大半だ。

大企業からすると、取引先に不正メールをばらまくようなセキュリティで本当に大丈夫だろうかと評価されることもあるだろう。

自社のメールサーバが踏み台になることは「自社はセキュリティに甘い会社です」と取引先全般に告知することと変わらない。特に取引先にセキュリティ意識の高い企業があればなおさらである。

３つの対策

メールサーバの踏み台を防ぐには、攻撃者の侵入経路の守りを固めることに尽きる。
攻撃者の侵入経路は次の３つだ。
１ メール送受信に使われるパソコン
２ グローバルIPが付与された機器（VPNルータなど）
３ メールサーバへの認証突破

１. メール送受信に使われるパソコンの防御

とにかく、メール送受信が可能なパソコンは、OSのセキュリティパッチとアンチウイルス定義ファイルは常に最新にしておくことが必須となる。
そのためには、メースサーバに接続できるパソコン端末は、全てシステム管理者が把握出来ていることが前提となる。
メールサーバがIDとパスワードだけで、社員が自宅のパソコンや、海外事務所で担当者が現地で購入したパソコンなどが盲点になりやすい。

２. グローバルIPが付与された機器（VPNルータなど）の防御

とにかく、グローバルIPが付与された機器や端末は世界中のハッカーが常に狙っていると考えるべきだ。
これらの機器や端末の重要なセキュリティパッチは速やかに適用されるべきだ。そのためにはまず、自社のネットワークにどのようなグローバルIP付与端末があり、そのパッチ運用はどのように実施されているかは重要である。

３. メールサーバへの認証突破の防御

メールサーバもインターネットに公開されていれば、攻撃者はパスワードを不正入手したり推測ツールを使用することで突破される可能性は少なくない。

メールサーバは社内以外のネットワークからの接続は禁止するとか、（社外のネットワークからの場合は）許可した端末のみ接続を許可する多要素認証などの導入が必須となる。
メール送受信端末を制限することは「１ メール送受信に使われるパソコンの防御」にも有効だ。

以上のように、中小企業のセキュリティ対策は、まず自社のメールサーバが踏み台にならないことを優先的に検討されるべきであろう。

参考資料

・IPA「コンピュータウイルス・不正アクセスの届出事例　2022 年上半期（1 月～6 月）」

コンピュータウイルス・不正アクセスに関する届出：IPA 独立行政法人 情報処理推進機構

・サイバーセキュリティ総研「Emotet感染、情報漏洩、ランサムウェア被害企業・事例一覧2022」

Emotet感染、情報漏洩、ランサムウェア被害企業・事例一覧2022