【スポンサーリンク】

仕事の迷惑メール対策をした(二要素認証とスパムフィルター)

仕事の迷惑メール対策をした(二要素認証とスパムフィルター)
閲覧中のユーザー数
(閲覧中のユーザー:0)
  • 迷惑メールが増加し、不正アクセスのリスクが高まっています。
  • 2要素認証の設定とアカウント登録用メールアドレスの分離が、パスワード漏洩の被害を防ぐ有効な対策です。
  • 迷惑メールフィルターの強化とメールクライアントの設定変更、セキュリティソフトの導入、利用者教育が、迷惑メール対策に役立ちます。
特典ダウンロード
【ちいラボ読者特典】印刷してすぐ使える!
\記事が役に立ったらシェアしてね/
【スポンサーリンク】

1. 迷惑メールの増加とリスク対策

いったん不正アクセスの侵入を許してしまうと大きな被害になります。
金銭的な被害だけでなく、重要なデータにアクセスできなくなると多くの人に迷惑をかけてしまいます。

フィッシングメール対策の必要性
  • いったん不正アクセスがあると被害が大きい
  • 組織全員が詐欺を完全に避けるのは難しい

パスワード漏洩の被害を
最小限に食い止める仕組みが必要

迷惑メールの増加とリスク対策

最近、迷惑メールが多く届きます。
中には本物と見分けがつかないようなものもあり、ヒヤリとすることがありました。

ニコニコ動画のサイバー攻撃による被害のニュースを見て、その怖さを改めて感じました。

アカウントに不正アクセスされるリスクを減らすには、フィッシングメールに「注意する」だけでは不安です。
職場の人数が増えるにつれて、誰一人としてひっかからないということが確率的に困難になるからです。
パスワードが漏洩しても被害を最小限に食い止める仕組みが必要です。

パスワード管理の前提
  • ランダムで長い文字列にする
  • 同じパスワードは別のサービスで使い回さない

2. パスワード漏えいの被害を小さくする

パスワード漏洩の被害を小さくする
  • 利用アカウントを2要素認証に設定する
  • 公開用メールと登録用メールを分ける
  • 迷惑メールフィルターを強化する

2-1. 利用アカウントを2要素認証に設定する

その解決策の一つが、利用しているアカウントに2要素認証を設定していくことです。

Googleアカウントの「2段階認証」できてる? – スマホ教室ちいラボ
Googleアカウントの「2段階認証」できてる? – スマホ教室ちいラボ
利用アカウントを2要素認証に設定する

パスワードだけではログインできなくすれば、パスワードが漏洩しても被害にはつながらないからです。

たとえば、

WordPressのログインページは、プラグインを使って2要素認証に設定できました。
これまでも、ログインページのアドレスをランダム化していましたが、さらに不正アクセスに減らすことができます。

2-2. アカウント登録用メールを分ける

そんな中、レンタルサーバーで作成した独自ドメインのメールアカウントは 2要素認証を設定できませんでした。

そこで、問合せ先に公開しているメールアドレスと、アカウント登録用のメールアドレスを分けることにしました。
そもそも、ログインが必要なメールを受け取る用途に使わないことが大事です。

アカウント登録用メールを分ける

外部からの問合せ先として教えるメールアドレスには、多くのメールが届くきます。
迷惑メールの送信先にもなりやすいです。

ほかのサービスのアカウント登録で使うメールアドレスは、よりセキュリティの高いメールサービスに変更していくのが良いかもしれません。

候補の一つはGmailです。
Gmailは、2要素認証ができるし、ログイン操作の通知もあるからです。

また、Gmailは、サービスごとにエイリアスを付けておけば、どこからメールアドレスが流出したのかもチェックしやすいです。

アカウント登録用メールを分ける

メール情報が Googleに見られるかも…という不安は残りますが、そもそもサーバーを借りている場合にはどこであっても、大なり小なり同じような懸念はあるかもしれません。

アカウント登録用メールを分ける

ただ、Gmailなどは急な「利用停止(バン)」も怖いよね。

2-3. 迷惑メールフィルターを強化する

また、問合せ先のメールアドレスについては、迷惑メールフィルターの設定をやや強めにしてみました。
たとえば、閾値を敏感(1)〜標準(5)〜鈍感(10)と、変更できます。

なりすましメールにスパムの印をつけることができれば、開く際により注意を払うことができます。
たとえ本物のメールが多少含まれても、慎重に確認することができるようになります。

ただし、注意点は正当な問合せメールを「迷惑メール」と判定して、見逃してしまう可能性があることです。

また、正当なメールが多く迷惑メールとして認識されてしまうようであれば、結局うまく警戒できないかもしれません。
様子を見ながら、最適な検出レベルを探っていく必要があります。

迷惑メールフィルターを強化する

現状では迷惑メールがすり抜けている問題があるので、迷惑メールフィルターの強度を上げた状態で、本物のログイン用メールと迷惑メールの割合がどの程度になるのか確認してみたいと思います。

3. そのほかの対策

  1. メールクライアントの設定
    メールクライアントの設定で、HTMLメールの表示を制限したり、外部リンクを自動的に開かないようにしたりする
  2. メールセキュリティソフトの導入
    迷惑メールやフィッシングメールをより高度に検知するメールセキュリティソフトを導入する
  3. 教育・啓発活動
    利用者に対して、フィッシングメールの見分け方や、不審なメールへの対処方法などを教育・啓発する
こちらもどうぞ。
Slackの2要素認証を設定した(Google Authenticator)
Slackの2要素認証を設定した(Google Authenticator)
Slackを安全に使うためには「2要素認証」の設定が必須です。特に、ワークスペースの管理者やオーナーは重要です。2要素認証には、認証アプリ(例: Google Authenticator)とSMS認証の2種類の方法があります。これにより、不正アクセスのリスクを大幅に減らせます。また、スマホを失くした時のために、バックアップコードを安全な場所に保管することも重要です。「2月26日までに2要素認証が義務」Slackの画面に「ワークスペース管理者は、ログインを2要素認証にしておかな...

【解説】入力しやすいパスワードを考えてくれるツールを作った(パスワードエントロピーと入力)
【解説】入力しやすいパスワードを考えてくれるツールを作った(パスワードエントロピーと入力)
ツール本体へ(広告なし・軽量版)パスワードは毎回 ランダムに生成されます。気に入ったパスワードをタップするとコピーできます。ほかのパスワード候補に変える function generatePasswords() { const symbols = "!@#$%^&*()_+"; const letters = "abcdefghijkmnopqrstuvwxyz"; const numbers = "23456789"; let passwordsList = ""; for...

Googleアカウントの「2段階認証」できてる?
Googleアカウントの「2段階認証」できてる?
Googleアカウントには2段階認証の仕組みがあり、正しく設定すれば乗っ取られる心配はほとんどありません。2段階認証を設定するには、「Googleアカウントの管理」の「セキュリティ」から「Google にログインする方法」で確認と変更ができます。2つ目の認証方法には、Googleアプリによる通知やSMS、バックアップコードなど複数の選択肢があり、様々な状況に対応できるようになっています。Googleアカウントではありませんが、最近 私の身の回りでも、Twitterアカウントが...

cPanelの迷惑メールフィルターを強化した(Apache SpamAssassin)
cPanelの迷惑メールフィルターを強化した(Apache SpamAssassin)
仕事用のメールアドレスに届く迷惑メールが、うまく振り分けられていないことに気づいたので、メールサーバーの設定を変更することにしました。cPanelのスパムフィルタ私が使用しているレンタルサーバーでは、「cPanel」の管理メニューから「スパムフィルタ」が設定できました。このスパムフィルタは、「Apache SpamAssassin」が搭載されていました。スパム閾値スコアを下げる関係するのは、「スパム閾値スコア(Spam Threshold Score)」。この値を調整すると、...
QRコードを読み込むと、関連記事を確認できます。

仕事の迷惑メール対策をした(二要素認証とスパムフィルター)
【スポンサーリンク】
タイトルとURLをコピーしました