• カスタマーサポートのメールセキュリティ:偽の返信、アカウント乗っ取り、データ漏洩を防ぐ方法

カスタマーサポートのメールセキュリティ:偽の返信、アカウント乗っ取り、データ漏洩を防ぐ方法

ブログ,電子メール・セキュリティ

カスタマーサポート向けメールセキュリティガイド:ヘルプデスクの受信箱を狙ったフィッシング、偽の返信、アカウント乗っ取り、情報漏洩を防止しましょう。ベストプラクティスを解説しています。

byMilena Baghdasaryan

最終更新日:
8 読了時間:約8分
カスタマーサポートのメールセキュリティ:偽の返信、アカウント乗っ取り、データ漏洩を防ぐ方法

主なポイント

  1. カスタマーサポートのメールセキュリティが重要視される理由は、ヘルプデスクの受信箱が常に未知の送信者とやり取りを行い、機密情報にアクセスし、ファイルやリンクを受け取り、また共有メールボックスを使用することが多いためです。
  2. ヘルプデスクの受信箱における主なサイバーリスクは、フィッシング、既存のスレッドへの偽の返信、アカウント乗っ取り、およびデータ漏洩のリスクです。
  3. サポート用受信トレイのセキュリティを確保するための最も効果的な対策としては、フィッシングメール対策、強固な多要素認証(MFA)、不審な活動の監視、およびチームへの研修などが挙げられます。
  4. サポートチーム向けにエスカレーション計画とメールセキュリティチェックリストを作成し、不審な事態が発生した際に担当者が取るべき明確な手順を提示してください。

メールセキュリティを真剣に考えている企業であっても、見落としがちな点が一つあります。それは、カスタマーサポートのメールセキュリティです。サポート用の受信箱は、単なるコミュニケーション手段の一つではありません。カスタマーサポートのメールは、多くの場合、顧客の機密情報への入り口となるものです。さらに、万が一問題が発生すれば、ブランドの信頼に深刻な打撃を与える恐れがあります。

そこで、このガイドでは、どのようなリスクに注意すべきか、またフィッシングやその他の悪意のある活動からヘルプデスクのメールを保護する方法について解説します。

カスタマーサポートのメールセキュリティに独自の戦略が必要な理由

カスタマーサポートにおけるサイバーセキュリティは重要な課題です。なぜなら、ほぼすべての企業がこのような問い合わせ窓口を設けており、それが脆弱性になり得ることに気づいていない場合が多いからです。しかし、なぜこれほど重要なのでしょうか。また、サポートメールがなぜ脅威にさらされやすいのでしょうか。

  • サポートチームは、社外の関係者との間で毎日何十通ものメールをやり取りしています。このこと自体が、このアカウントを「ハイリスクアカウント」にしているのです。
  • 多くの場合、彼らはあなたが漏洩されたくない顧客データにアクセスできる立場にあります。
  • リンクやスクリーンショットから動画やPDFに至るまで、さまざまな添付ファイルやデータを受け取ることは、彼らにとって日常茶飯事です。攻撃者は、これらすべてを侵入の足がかりとして利用することが可能です。
  • カスタマーサポートでは共有メールボックスが頻繁に利用されますが、多くの人がアクセスできると、悪用されるリスクがさらに高まります。

あまり知られていないもう一つの点は、カスタマーサポートは原則として、あらゆる問題をできるだけ早く解決しようと努めているということです。そして、この「早急に対応しようとする姿勢」こそが、多くのハッカーに悪用されているのです。

しかし、もしそうなった場合、一般的なオンライン・プレゼンス管理のワークフローでは解決できない深刻な評判リスクが生じる可能性があります。だからこそ、企業におけるカスタマーサポートのメールセキュリティは極めて重要な課題となっているのです。

 

カスタマーサポートチームが直面する主なメールセキュリティ上のリスク

「敵を知れ」という言葉がある通り、これはサイバーセキュリティにおいても非常に有効な戦略です。チームがどのような攻撃が可能かを把握していれば、不審な動きに気づく可能性が格段に高まります。そこで、最も一般的な脅威について見ていきましょう。

フィッシングメール

フィッシング攻撃は、依然として攻撃者が用いる最も一般的な手口の一つであり 初期アクセス事例の15% を占めています

フィッシングメール

出典:ベライゾン・データ侵害調査報告書

フィッシングメールとは、基本的に正当な連絡を装った偽のメッセージのことです。攻撃者は通常、これを利用して悪意のあるファイルを拡散したり、受信者をだまして機密情報を開示させたりします。

御社の他の部署の多くはこうした事態に直面する機会が少ないかもしれませんが、サポートチームは常に限られた時間の中で最善を尽くして対応しています。そのため、一部の「危険信号」を見逃してしまうことがあるのです。

既存のメールスレッドへの偽の返信

これらは、従来のフィッシング攻撃に比べてさらに検知が困難です。以前は、顧客やパートナーとの間で既にメールのやり取りがある場合、そのメールは安全だと考えても問題ありませんでした。何しろ、見知らぬ新しい送信者ではないからです。しかし、今ではそうとは限らないかもしれません。

「ビジネスメール詐欺」と呼ばれる脅威が存在します。実際の事例としては、次のようなケースが考えられます。顧客企業のメールボックスが不正アクセスを受ける可能性があります。その後、攻撃者は過去のやり取りを確認し、サポートチームに緊急の依頼(請求先住所や認証情報の変更など)をしてくることがあります。

一見、本物のメールのように見えますが、実際にはなりすまし攻撃です。

アカウント乗っ取りへの対策

アカウント乗っ取り攻撃は、なりすまし攻撃とよく似ている場合があります。ただし、この場合は顧客の受信箱ではなく、自社チームの受信箱が侵害される点が異なります。攻撃者が正当なアカウントから操作を行っているため、こうした攻撃を検知するのは非常に困難です。

多くの場合、これは認証情報の収集によって行われます。例えば、チームメンバーがGoogleから送られてきたように見えるメールを受け取り、セッションが期限切れになったと通知されたとします。そのメンバーがログイン情報を入力すると、ハッカーがそのアカウントにアクセスできるようになります。

共有メールボックスの不正利用

共有メールボックスのセキュリティは複雑になり得るという点については、すでに触れました。これは通常、誰がどのような操作を行うかを管理することが難しいためです:

  • そのメールにアクセスできる人が何人かいるため、受信トレイへのアクセス制御は事実上不可能です。
  • 組織によっては、元チームメンバーが引き続きメールボックスにアクセスできる場合があります。
  • すべての企業が監査ログや権限の確認を日常的な業務として行っているわけではないため、共有受信トレイのセキュリティリスクはさらに高まる。

データ漏洩のリスク

電子メールでのやり取りにおけるデータプライバシーの確保は、企業の信頼性を守り、訴訟リスクを最小限に抑えるために不可欠です。しかし、カスタマーサポート担当者が、その重要性に気づかずに機密情報を共有してしまうケースが少なくありません。その形態は多岐にわたります:

  • 動画やスクリーンショットに個人情報が映り込んでいる。
  • メールのやり取りで情報を共有しすぎること。
  • 一部のメッセージを他部署や個人の受信箱などに転送する
  • 個人情報を間違った顧客に送信してしまったり、社内のメモを誤ってクライアントと共有してしまったりすること。

しかも、これらはなりすまし攻撃やアカウント乗っ取り、共有メールボックスのセキュリティ問題などが含まれていないケースに過ぎません。

ヘルプデスクのメールをフィッシングや不正操作から守る方法(9つのベストプラクティス)

それでは、B2CおよびB2Bの顧客対応メールのセキュリティ強化に役立つ具体的なベストプラクティスを見ていきましょう。

1. 強力な多要素認証(MFA)を利用する

多要素認証は、メールボックスをさまざまな脅威から守るための、最も簡単でありながら最も効果的な方法の一つです。その仕組みは単純で、パスワードに加えてもう一つのセキュリティ層を追加するというものです。CISAが指摘するように、それは「知っていること」、「持っているもの」、あるいは「本人固有の特性」のいずれかとなります。

出典:CISA

多要素認証(MFA)を導入しても、アカウントが完全に無敵になるわけではありませんが、不正アクセスを防ぐ効果は格段に高まります。したがって、組織内の全員が必ず多要素認証を有効にするようにしてください。理想を言えば、メールだけでなく、使用するすべてのツールやソフトウェアで多要素認証を設定することが望ましいでしょう。

2. サポート用受信箱へのアクセスを制限する

これは些細な変更に思えるかもしれませんが、カスタマーサポートの受信箱を守る上で非常に効果的です。言うまでもなく、サポートチーム以外のメンバーがアクセス権を必要とすることはまずないでしょう。しかし、サポートチーム内であっても、すべてのエージェントがすべての受信箱にアクセスする必要があるわけではありません。

そして、本当にアクセスが必要な人だけがアクセスできるようにすれば、攻撃者が侵入できる可能性のある経路を減らすことができます。実際の運用では、次のような形になるでしょう:

  • アクセス権限を確認し、サポート用受信箱へのアクセス権が本当に必要ないユーザーがないか見直してください。できれば、定期的に確認することをお勧めします。
  • 可能であれば、必要に応じてメンバーごとに異なるアクセス権限を設定してください。
  • 誰かが会社を辞めたり、別の部署に異動したりした場合は、できるだけ早くその人物のアクセス権を無効にしてください。

3. 共有メールボックスには個別アカウントを使用する

これは、共有受信トレイのセキュリティに関する最も重要なベストプラクティスの一つです。サポートチームでは、複数のエージェントが1つの共有ログインアカウントを共有して使用することがよくあります。しかし、サイバーセキュリティの観点からは、これは最善のアプローチとは言えません。

そこで、代わりに、チームメンバー全員がそれぞれ独自のアカウントを持つようにしてください。そうすれば、誰が送信、転送、または削除を行ったかを追跡できます。また、万が一アカウントの1つが不正アクセスを受けた場合でも、特にログを監視していれば、影響を軽減しやすくなり、問題の発生源を正確に特定することができます。

4. 不審な動きを監視する

主要なメールやヘルプデスクのプラットフォームには、すべてイベントログが備わっています。これらは、深刻な被害が発生する前に不審な動きに気づく上で、極めて有用です。アカウント乗っ取り攻撃は検知が難しい場合があると先ほど述べましたが、攻撃者はしばしば次のような異常な動作を行うため、イベントログが役立ちます:

  • 新しい転送ルール、特に組織外のアドレスへの転送について。
  • 普段とは異なる場所やIPアドレスからのログイン、あるいは不自然なログインパターン(例:リモートサポート担当者がシアトルで勤務し、そこからログインしているにもかかわらず、2時間後にはなぜかバリからログインしているなど)。
  • 権限の変更、特に承認なしに上位の権限を付与すること。
  • その他、何か違和感を感じる活動。

何かおかしいと感じたら、一度確認し直したほうが良い場合がよくあります。

5. フィッシングおよびなりすまし対策機能を利用する

フィッシングメールを完全に阻止するのは非常に難しいですが、不審なメールを検知・フィルタリングするのに役立つツールを利用することができます。ほとんどのメールプロバイダーには、フィッシングや悪意のある可能性のあるリンクを検知する機能が標準で備わっていますが、それだけでは不十分な場合もあります。

フィッシングに関しては、チームへの啓発やメールプラットフォームの標準機能を活用することで、多くの場合、被害を防ぐことができます。しかし、メールのなりすましやスプーフィングの場合、メール認証ツールなしでは、大規模な検知や管理を行うのははるかに困難です。

PowerDMARCなら、SPF、DKIM、DMARC レコード の設定と監視が可能です。これにより、不正な第三者がお客様のドメインを装ってメールを送信していないかを確認し、メールのなりすましリスクを軽減することができます。

さらに、この無料の類似ドメインチェッカーを使えば、ご自身のドメインと類似した登録済みかつ有効なドメインがあるかどうかを確認できます。もしそのようなドメインが存在する場合、誰かが類似したドメインを使用して偽のサポートメールを送信し、貴社のブランドを装うという潜在的なリスクがある可能性があります。

悪意のある添付ファイルやリンクを送信することは、攻撃者がよく用いる手口の一つです。ユーザーがスクリーンショットやドキュメントを頻繁に送信する傾向にあるため、カスタマーサポートの受信箱では、こうした手口がさらに蔓延しています。

したがって、不審なファイルやリンクについてチームに警告したり、添付ファイルをマルウェア検査したりできるツールを導入することが重要です。多くの場合、メールプラットフォームの標準機能だけでは不十分なことがあります。

さらにセキュリティを強化するため、当社の無料サービスフィッシングリンクチェッカー」を利用して、不審なリンクを確認することもできます。すべてのチェックはサーバー側で実行されるため、お使いのブラウザが不審なURLにアクセスすることはありません。

7. 偽メールの見分け方をチームに周知徹底する

多くの攻撃者が、認証情報を盗むためにソーシャルエンジニアリング攻撃を利用していることがよくあります。つまり、彼らはソフトウェアの脆弱性を突くのではなく、人間を巧みに操ることでシステムへのアクセス権を得ているのです。実際、情報漏洩の約60%は人的ミスが原因となっています。

「全情報漏洩の約60%に人的要因が関与している」――ベライゾンの調査

出典:ベライゾン・データ侵害調査報告書

そこで、まず最初に行うべきことは、チームに対して潜在的なリスクや、偽のメールを見抜くための具体的な手順について周知徹底することです。以下は、カスタマーチームが特に注意すべき、最も一般的な不審な点の一部です:

  • 機密データが関わる緊急の依頼で、依頼者が明らかに手続きを急いでいる場合。
  • 自分がリクエストしていないファイルやリンク、特にランダムに見えるものは要注意です。
  • その企業のドメインから送信されていないリンク、チームメンバーにログインを求めるリンク、および短縮URL。

8. 本人確認はメールだけに頼らないでください

アカウント乗っ取り攻撃からメールのなりすましまで、潜在的なリスクは多岐にわたるため、メール情報だけを鵜呑みにすることはできません。特に、誰かが機密情報の変更や送信を急いで求めてきた場合には、なおさらです。

したがって、カスタマーサポート担当者がリスクの高いリクエストに対応する前に、必ず(メール以外の)追加の認証方法を求めるようにしてください。この簡単な手順により、サポートチケットの不正操作のリスクを軽減することができます。

9. 不審なリクエストに対するエスカレーションルールを作成する

このガイドでは、不審なケースや悪意のある可能性のあるシナリオについていくつか取り上げました。しかし、それらを検知することは、対策の一部に過ぎません。チームには、あらゆる「リスクのある」ケースに対して従うべき明確な手順も必要です。

理想を言えば、以下のものが必要です:

  • 悪意のある可能性のあるリンクや、不審な添付ファイルなど、最も一般的な脅威に対するチェックリスト。
  • また、サポート担当者が不審なリクエストをエスカレーションできる相手(例:セキュリティ/不正対策チーム、あるいはマネージャーなど)も必要です。

まとめ

最後に一つだけ覚えておいていただきたいことがあるとすれば、それは「後悔するより、安全策を講じておくに越したことはない」ということです。こうしたサイバーセキュリティに関するアドバイスは、しばしば過剰に思えたり、心配性な人たちの言い分のように感じられたりすることがあります。しかし実際には、リスクが非常に高いため、少しでも不安を感じたら、念のため再確認したほうが賢明な場合が多いのです。

結局のところ、カスタマーサポートのメールセキュリティは、単なる「あれば便利なもの」ではありません。企業の評判を左右しうる、絶対に欠かせない要素なのです。ですから、何か問題が発生した際に、カスタマーサポートチームが状況を正しく把握し、適切に対応できるよう、しっかりと周知徹底させておく必要があります。

受信トレイのセキュリティを確実に確保したい場合は、まずメール認証を設定し、PowerDMARCを使って不審な送信活動を監視することから始めましょう。

CTA

最新記事 by Milena Baghdasaryan(全て見る)
最終更新日:
SPF 対 DKIM:その違いとは?両方必要なのか?