2021年4月15日

今回はメールアカウントの不正アクセスに伴う被害事例をご紹介します。

2021年1月～4月に確認された被害事例

●消防本部が迷惑メールの踏み台に、メール遅延発生
https://scan.netsecurity.ne.jp/article/2021/01/18/45054.html
事象：2021年1月13～14日

●花卉卸売大手のWebサイトに不正アクセス、不審メール送信の踏み台に
https://scan.netsecurity.ne.jp/article/2021/01/18/45055.html
事象：2021年1月15日

●日本通運のパソコン2台に不正アクセス、メール閲覧とウイルス感染被害
https://scan.netsecurity.ne.jp/article/2021/03/04/45281.html
事象：2021年3月1日

●CWS Japanメールアカウントに不正アクセス、迷惑メール送信の踏み台に
https://scan.netsecurity.ne.jp/article/2021/03/12/45323.html
事象：2021年3月6日

●葛飾区が保有するメールアドレスが踏み台に、827件の不正送信が発覚
https://scan.netsecurity.ne.jp/article/2021/03/15/45338.html
事象：2021年3月10日

●メールアカウントに不正アクセス、約2,500件のメール内容が流出し迷惑メールに悪用される
https://scan.netsecurity.ne.jp/article/2021/04/05/45462.html
事象：2021年3月10日

●BTCボックスのメール配信システムに不正アクセス、詐欺メール送信の踏み台に
https://scan.netsecurity.ne.jp/article/2021/04/14/45519.html
事象：2021年4月6日

（サイバーセキュリティ専門ニュースサイト「ScanNetSecurity」に掲載された事象より抜粋）

メールアカウントへのアクセスには、

1. メールサーバー情報
2. メールアカウント情報
3. メールパスワード情報

上記の3点が必要になりますが、1,2番については外部から容易に推測が可能なため、メールパスワードの複雑さが不正なアクセスの突破を左右します。

メールアカウントへの不正アクセス対策案

メールアカウントごとに固有のパスワードを設定する

「容易に推測できない文字列」にてパスワード設定を行うことで、よく使われる文字列を利用した辞書型攻撃による不正アクセスを抑制します。「容易に推測できない文字列」の作成には、ランダムな文字列を自動的に生成するツールを利用することで、推測が困難なパスワードを簡易に作成することができます。
▼パスワードの作成について
https://www.luft.co.jp/cgi/randam.php

下記サイトでは過去に漏洩したパスワードを確認することができます。
漏洩したパスワードと判定された場合は文字列を変更することをおすすめします。
▼設定したパスワードの漏洩事例を確認
https://haveibeenpwned.com/Passwords

定期的（異動者、退職者が生じた際等）なパスワードの変更

総務省が管轄する「国民のための情報セキュリティサイト」では、「定期的な変更は不要」とされていますが、異動や退職等により、利用権限がなくなった方のメールアカウント設定をそのまま運用した場合、持出しによる不正アクセスが行われる可能性が残ります。利用権限がなくなったメールアカウントはアカウントの削除を、利用が変わる際にはパスワードの変更をおすすめいたします。
【参考】安全なパスワード管理＜総務省＞
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

利用端末の定期的なウィルススキャンと駆除作業

メールアカウントを利用する端末（パソコン、スマートフォン等）がウイルスに感染していた場合、推測されにくい固有のパスワード設定を行っていても抑止力にはならないため、ウイルススキャンを実施し、ウイルス感染によるパスワード流出を防ぐことでより堅牢になります。