休暇や出張にでかける前、多くの人は自動応答メールを設定します。不在中の代理担当者を取引先や同僚に知らせるためで、旅行または出張の期間や代理担当者の連絡先を掲載するのが一般的ですが、現在進行中のプロジェクトに関する情報を含めることもあります。
一見何の問題もなさそうな自動応答メールですが、ビジネス上のリスクとなる恐れがあります。送り先が制限されていない場合、自動応答メールは受信した全メールの差出人宛てに送られます。差出人は、メールフィルターをうまいことくぐり抜けてきたサイバー犯罪者やスパマー(スパムメールの送り手)かもしれません。それに、自動応答メールに書かれた情報は、標的型攻撃を実行するのに十分かもしれません。
その1行が大きなトラブルに
相手がスパマーだった場合、このメールアドレスが生きていること、ある特定の人物のものであることが知られてしまいます。また、その人の氏名と役職も分かります。署名に電話番号が含まれていることも珍しくありません。
スパマーは巨大なデータベースに載っているアドレスに対して無差別にメールを送信するものですが、この方法は徐々に時代遅れとなり、効果が薄れてきました。しかし、送信先に本物の人間がいることが分かれば、この人を有望な標的としてマークし、頻繁にメールを送りつけます。電話をかけるかもしれません。しかし、これはまだ序の口です。
フィッシングメールに対して自動応答メールが送られた場合、そこに記載された代理担当者に関する情報(名前、役職、業務スケジュール、電話番号までも)は、スピアフィッシング攻撃に使われる可能性があります。これは大企業だけの問題ではありません。簡単に手に入る自動応答メールは、あらゆる種類のソーシャルエンジニアリングに使える宝の山なのです。
サイバー犯罪者の手口
こんな状況を想像してみてください。Aさんが休暇を取ることになり、不在時の申し送りを細かく記した自動応答メールを設定しました。「3月27日までお休みをいただきます。XXプロジェクトにつきましては、B(メールアドレス、電話番号)までご連絡ください。M社の再設計案件につきましては、C(メールアドレス、電話番号)が対応いたします」。
さて、Cさんのところに、M社の部長かららしきメールが届きました。M社の部長(実はサイバー犯罪者)は、前にAさんと行った打ち合わせを引き合いに出しながら、ユーザーインターフェイスの設計候補を見てほしいと言ってきています。
こんな状況では、Cさんはほぼ確実に添付ファイルを開くか、リンクをクリックしてしまうことでしょう。そのために仕事用のコンピューターが感染の危機にさらされてしまいます。
それだけではありません。サイバー犯罪者は、休暇中のAさんの名前を出し、これまで一緒に行ってきた仕事に言及してメールのやり取りを重ね、機密情報を探り出すこともできます。その企業について詳しくなればなるほど、代理のスタッフが内部情報を転送してくれたり、商売上の秘密をうっかり口にしたりする可能性が高くなります。
対策
自動応答が頭痛の種とならないようにするには、このような不在通知メールに対する良識ある方針が必要になります。
- 不在通知メールを本当に使う必要がある従業員は誰か、判断して決めておく。担当する取引先が数社程度の従業員の場合なら、自分の休暇をあらかじめメール1通または電話1本で知らせておけば済むことです。
- ある従業員の業務すべてを1人のスタッフが代行する場合は、メールの転送機能を利用する。必ずしも便利ではないかもしれませんが、重要なメールを見逃すようなことは確実に回避できます。
- 自動応答メールを社内アドレス用と社外アドレス用に2種類用意するように、従業員に勧める。社内から来たメールには詳しい指示の入ったメールで応答しても構いませんが、社外からのメールには必要最低限の返信にとどめるようにしてください。
- 同僚以外とはメールをやり取りしない従業員については、社外アドレスへの自動応答を無効化する。
- 自動応答メールには必要以上の情報を記載しないように、従業員に勧告する。製品ラインナップ、取引先の名前、同僚の電話番号、休暇の行き先などを書く必要はありません。
- スパムやフィッシングを自動的に検知し、添付ファイルにマルウェアが含まれていないかどうかスキャンするセキュリティ製品を、メールサーバーに導入する。