【Web担当者必見!】メールアドレスが乗っ取られた!退職者メールアカウント放置の危険性
こんにちは。業界歴30年のWebプロデューサー、a.design今里です。
今回は企業のWeb担当者、情報システム部門担当者、会社のセキュリティ対策に関わる方に特に気をつけて欲しいことをブログにまとめました。
と言いますのも、実際にメールアドレスを乗っ取られる事案が多発しているからです。
これを防ぐための対策について、解説していきます。
はじめに:身近に潜むセキュリティリスク
最近発生したメールアカウント乗っ取り事例
サーバー会社からお客様宛に以下のようなメールが届きました。(一部抜粋)
●●●● 様
ご利用中の以下アカウントで作成いただいたメールアドレスより
不審なメール配信が確認されました。該当メールアドレス:●●●@●●●.●●●
上記アカウントが第三者に不正利用されている可能性があるため、
送信制限を実施しております。何卒ご了承ください。該当の配信にお心当たりがない場合、パスワードの推測や、
ご利用端末のウィルス感染によりメールアカウントが不正利用
されていることが考えられます。以下内容をそれぞれ対応いただきますようお願いいたします。
■[ 対応1 ]ご利用端末のセキュリティスキャン
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄■[ 対応2 ]メールアドレスのパスワード変更
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄メールアドレスが不正利用されスパムメールが大量配信される場合、
メールサーバー自体がブラックリストに登録され、同じサーバーを利用する
他のユーザーの方のご利用にも支障が発生いたします。
ご理解の上、セキュリティ対策を実施いただきますようお願いいたします。なお、他にセキュリティ強度の低いパスワードが設定されている
メールアドレスがある場合、併せてパスワード変更をお願いいたします。お手数をおかけいたしますがご確認、ご対応よろしくお願いいたします。
同じようなメールが届いた方はいらっしゃるでしょうか?
この連絡があった場合、速やかにメールサーバーにてメールアドレスのパスワードを変更してください。
特にパスワードを12桁以下にしている方は、必ず12桁以上の数字・記号を組み合わせたものに変更しましょう。
退職者アカウント放置の危険性
退職者アカウント放置の危険性、それは "会社のセキュリティの穴" を放置することと同じです。
以前の社員が持っていた鍵をそのままにしていませんか? その鍵で、誰でも会社の部屋に入ることができる状態、恐ろしくありませんか?
退職者のメールアカウントも、会社の重要な情報にアクセスできる "鍵" です。 放置すると、悪意のある第三者に利用され、情報漏洩やシステムへの不正アクセスなどの深刻な被害に繋がる可能性があります。
退職者が悪意があるというわけではありません。古いパスワードは簡単な文字列や、短い文字列だったりします。その古いパスワードが、悪意のある第三者に破られて乗っ取られる・・・ということが起きたりします。
あなたの会社は大丈夫ですか? 今すぐ対策をしましょう!
退職者メのールアカウント放置で起こる被害
退職者のメールアカウントを放置することでパスワードが漏れた結果、起こり得る被害については以下のとおりです。
アカウント乗っ取りによる被害
- スパムメール送信によるサーバー評判の低下
- フィッシング詐欺への悪用
- 社内システムへの不正アクセス
- 情報漏洩のリスク
- なりすましによる取引先とのトラブル
コンプライアンス違反
- 個人情報保護法における問題点
- GDPR等の海外法規制への抵触の可能性
こうして並べただけでも会社にとっては大きなダメージが想定できますね。
具体的な対策:リスクを最小限にするために
それでは、具体的にどのような対策を取るとよいのか、以下にまとめました。
アカウントの削除・無効化
- 退職時のアカウント処理手順を明確化
まずはメールアカウント一覧で、使っていないメールアカウントが無いか確認してください。もしあれば、削除しましょう。
アクセス権限の見直し
- 定期的な権限の見直しと更新
- 部署異動時のアクセス権限変更
アクセス権限には「管理者」とそれ以外に権限がわけられており、メールアカウントを増やしたり減らしたりすることができる人は「管理者」となっています。管理者は誰なのか、管理者は速やかに退職者のメールを削除する環境にあるのか確認しましょう。
一人だけが管理者だと、その人になにかあった際に他の誰もが操作できない・わからない、ということが発生します。かといって、管理者がたくさんいると、セキュリティリスクが高まります。
組織にあった人数(2人~組織の規模によるが上長)などに管理者権限をつけましょう。
パスワード管理の徹底
- 強固なパスワード設定のルール化
- 定期的なパスワード変更の義務付け
- 多要素認証の導入
こちらは意外にもできていないことが多いです。パスワードを覚えやすいからと行って安易なものにしないよう徹底しましょう。必ず12桁以上にすることが重要ですが、今後はもっと長い桁を設定する必要があると予想されます。
従業員へのセキュリティ教育
- セキュリティ意識向上のための研修
- 退職者アカウントに関する注意喚起
セキュリティ意識は継続した教育が必要です。一度言って終わりではなく、年に一度は外部講師などを招いて研修するなど、継続して注意喚起を促してください。
メールセキュリティ対策の強化
- スパムフィルター導入
- ウイルス対策ソフトの導入
- 不正アクセス検知システムの導入
ウイルス対策ソフトも色々あってわからない・・・ということもあろうかと思いますが、やはりメジャーなものをおすすめします。無料でできる範囲は限られていますので、安全対策にコストをかけるという意識を持ちましょう。
参考資料・関連リンク
- ICTサイバーセキュリティ政策分科会(第5回:2024年4月5日開催)別ウインドウで開く
- 政府機関等のサイバーセキュリティ対策のための統一基準群別ウインドウで開く
- Google:メール送信者のガイドライン