- 迷惑メールが増加し、不正アクセスのリスクが高まっています。
- 2要素認証の設定とアカウント登録用メールアドレスの分離が、パスワード漏洩の被害を防ぐ有効な対策です。
- 迷惑メールフィルターの強化とメールクライアントの設定変更、セキュリティソフトの導入、利用者教育が、迷惑メール対策に役立ちます。
1. 迷惑メールの増加とリスク対策
いったん不正アクセスの侵入を許してしまうと大きな被害になります。
金銭的な被害だけでなく、重要なデータにアクセスできなくなると多くの人に迷惑をかけてしまいます。
最近、迷惑メールが多く届きます。
中には本物と見分けがつかないようなものもあり、ヒヤリとすることがありました。
ニコニコ動画のサイバー攻撃による被害のニュースを見て、その怖さを改めて感じました。
アカウントに不正アクセスされるリスクを減らすには、フィッシングメールに「注意する」だけでは不安です。
職場の人数が増えるにつれて、誰一人としてひっかからないということが確率的に困難になるからです。
パスワードが漏洩しても被害を最小限に食い止める仕組みが必要です。
2. パスワード漏えいの被害を小さくする
2-1. 利用アカウントを2要素認証に設定する
その解決策の一つが、利用しているアカウントに2要素認証を設定していくことです。
パスワードだけではログインできなくすれば、パスワードが漏洩しても被害にはつながらないからです。
WordPressのログインページは、プラグインを使って2要素認証に設定できました。
これまでも、ログインページのアドレスをランダム化していましたが、さらに不正アクセスに減らすことができます。
2-2. アカウント登録用メールを分ける
そんな中、レンタルサーバーで作成した独自ドメインのメールアカウントは 2要素認証を設定できませんでした。
そこで、問合せ先に公開しているメールアドレスと、アカウント登録用のメールアドレスを分けることにしました。
そもそも、ログインが必要なメールを受け取る用途に使わないことが大事です。
外部からの問合せ先として教えるメールアドレスには、多くのメールが届くきます。
迷惑メールの送信先にもなりやすいです。
ほかのサービスのアカウント登録で使うメールアドレスは、よりセキュリティの高いメールサービスに変更していくのが良いかもしれません。
候補の一つはGmailです。
Gmailは、2要素認証ができるし、ログイン操作の通知もあるからです。
また、Gmailは、サービスごとにエイリアスを付けておけば、どこからメールアドレスが流出したのかもチェックしやすいです。
メール情報が Googleに見られるかも…という不安は残りますが、そもそもサーバーを借りている場合にはどこであっても、大なり小なり同じような懸念はあるかもしれません。
ただ、Gmailなどは急な「利用停止(バン)」も怖いよね。
2-3. 迷惑メールフィルターを強化する
また、問合せ先のメールアドレスについては、迷惑メールフィルターの設定をやや強めにしてみました。
たとえば、閾値を敏感(1)〜標準(5)〜鈍感(10)と、変更できます。
なりすましメールにスパムの印をつけることができれば、開く際により注意を払うことができます。
たとえ本物のメールが多少含まれても、慎重に確認することができるようになります。
ただし、注意点は正当な問合せメールを「迷惑メール」と判定して、見逃してしまう可能性があることです。
また、正当なメールが多く迷惑メールとして認識されてしまうようであれば、結局うまく警戒できないかもしれません。
様子を見ながら、最適な検出レベルを探っていく必要があります。
現状では迷惑メールがすり抜けている問題があるので、迷惑メールフィルターの強度を上げた状態で、本物のログイン用メールと迷惑メールの割合がどの程度になるのか確認してみたいと思います。
3. そのほかの対策
- メールクライアントの設定
メールクライアントの設定で、HTMLメールの表示を制限したり、外部リンクを自動的に開かないようにしたりする - メールセキュリティソフトの導入
迷惑メールやフィッシングメールをより高度に検知するメールセキュリティソフトを導入する - 教育・啓発活動
利用者に対して、フィッシングメールの見分け方や、不審なメールへの対処方法などを教育・啓発する