「人＋システム」で組織と情報を守る
生成AI時代のメールセキュリティー対策

　情報処理推進機構（IPA）は2025年1月に「情報セキュリティ10大脅威 2025」を発表した。目を引いたのがメールにかかわる脅威だ。上位10位中、それが5つもランクインした。

　特にフィッシングとビジネスメール詐欺には注意が必要だ。フィッシングは実在する組織や人を装って、パスワードやクレジットカード番号などの個人情報を盗み出す手法。ビジネスメール詐欺も手口は同様だが、主に金銭の搾取を目的とする。いずれも年々増加傾向にあり、手口も巧妙化している。

　その巧妙化を促進しているのが生成AIである。攻撃者が開発した「WormGPT」は、一般的な生成AIサービスが持つ倫理感やルールを実装していない生成AIツール。犯罪行為に役立つ情報も生成できるため、このようなツールを利用する攻撃者が増えている。

　「説得力のあるフィッシングや詐欺の文章の作成、検知を回避するマルウエア亜種の生成などをごく簡単に実行できます。メール攻撃の精度が増し、攻撃の規模もますます拡大するのではないかと危惧されています」とインターネットイニシアティブ（以下、IIJ）の佐藤 皓輝氏は語る。

　ランサムウエアや標的型攻撃は依然として大きな脅威だが、その端緒となる攻撃手法には多くの場合、メールが使われる。メールセキュリティーを強化する必要性が、以前にも増して高まっているといえるだろう。

　リスクに対処するためのポイントの１つは、従業員一人ひとりのセキュリティー意識を高めることだ。フィッシングや詐欺メールの特徴や最新手口、不審なメッセージへの対応方法などに関する教育やトレーニングを定期的に行い、ユーザーのリテラシー向上を図ることが欠かせない。

　「ただ、それだけで十分ではありません。システム不具合のサポートを装い、遠隔操作ツールを不正にインストールする手法なども登場しています。あの手この手で人の行動や心理の脆弱性を突いてくる攻撃に対処するには、攻撃の進化に追い付いていない既存の対策システムを見直すことが不可欠です。『人＋システム』の両軸で考えることが、メールセキュリティーの勘所といえます」と佐藤氏は強調する。

　例えば、先述したWormGPTに関しても有効な対策はある。どんなに文章が巧妙でも、「添付ファイルの有無」や「送信元」など、複数の情報を基にメールをフィルタリングする仕組みがあれば防ぐことはできる。機械学習を活用してメールの内容を解析する仕組みの導入は、重要な対策の1つとなるだろう。

　また、IDやパスワードか搾取されてしまった場合の対策としては多要素認証が有効だ。「追加の認証要素がない限り、認証を突破できない仕組みを導入することで、不正アクセスのリスクを低減できます」と佐藤氏は言う。

　送信ドメイン認証も欠かせない。これは送信元メールサーバーのIPアドレス認証や電子署名の仕組みを利用して、そのメールが正規の送信元から送られてきたものかどうかを識別する技術である。

　その手法はいくつかあるが、信頼性を高めることができるのは「DMARC」だ。受信側で認証を失敗したメールに対するアクション（DMARCポリシー）をDNS上であらかじめ送信側が宣言しておく。具体的には「拒否する」「何もしない」「隔離する」の3つから、メールの扱いを決めておくのだ。「『拒否する』にすると、認証に失敗したメールは自動的に棄却されます。認証失敗時の判断を受信側に委ねることなく対処できるため、リスクを大幅に低減することが可能です」と佐藤氏は説明する。

　日本企業のDMARC導入は海外に比べて遅れているといわれてきた。しかし最近は急速に普及が進んでいるようだ。背景には、メール送受信を担う通信キャリア／ベンダーが対応を発表したことがあるだろう。NTTドコモはDMARCによる「なりすましメールの警告表示機能」を導入。Google、米Yahoo、Microsoftは一定量のメールを送信する企業・組織に対してDMARC対応を義務化した。「今や送信ドメイン認証対応は、推奨から義務のフェーズに移りつつあります」と佐藤氏は述べる。

　IIJは、このような対策を実現するメールセキュリティーサービスを提供している。それが「IIJセキュアMXサービス」だ。業種・規模を問わず多様な企業に採用されており、メールセキュリティー分野で国内トップクラスの導入実績を誇る。

　検知精度の高い複数社のアンチウイルスエンジン、メールフィルタリングエンジンによる多段防御で、包括的なメールセキュリティーを実現する（図1）。「網の目を細かくすることで、ウイルスやなりすましメールのすり抜けを防ぎます。DMARCによる送信ドメイン認証、マクロを含んだ添付ファイルの監査、マクロ除去フィルタなども実装しています」と佐藤氏は紹介する。 　ディープラーニング技術を活用したエンジンも搭載しているため、未知の攻撃にも対応可能だ。数億を超える膨大なファイルのサンプルから、悪性ファイルの特徴を数値化して数理モデルを作成。これを基に対象ファイルの危険度を予測する。従来のパターンファイルを用いたウイルス対策では判定できなかった、未知のマルウエアやゼロデイ攻撃に対する防御を大幅に強化できる。

　「受信側の機能だけでなく、送信時の対策機能を備えているのも特徴です。送信一時保留、アンチウイルスやアドレスフィルタ、キーワードフィルタなどの機能により、アドレス間違えによる情報漏えい、内部不正なども抑止できます」（佐藤氏）

　さらにIIJでは、メールだけでなく、それに関連した様々な対策を実現するソリューションも豊富に提供している（図2）。最新の攻撃手法を踏まえた実践的なeラーニングやトレーニング、セキュリティポリシー設計のためのコンサルティングなども可能だ。まさしく「人＋システム」の対策を包括的に支援してくれるパートナーといえるだろう。 　ビジネスリスクを低減する上で、メールセキュリティーの強化は真っ先にやるべきことの代表例といえる。人の教育はもちろんのこと、既存の対策で本当に大丈夫なのかも、あらためて見直してみることをお勧めする。