Outlookをセキュリティ脅威から守る対策のポイントを解説

Microsoftブログを紹介する女性

一度起これば企業の信用を失う企業の情報漏えい事故。その原因のほとんどが、メールに起因するものです。そのため、ビジネスを安全に存続させるためには、メールにおけるセキュリティ対策は非常に重要なものであるといえます。

今回はマイクロソフト社が開発した情報共有のためのグループウェアであり、多くの企業がメールシステムとして活用している「Outlook」に潜むセキュリティリスクについて解説いたします。併せて、よりセキュアなメール環境を整備するための対策方法も紹介していきます。

Outlookにおけるセキュリティ脅威

セキュリティインシデントを引き起こす要因として、まず挙げられるのはサイバー攻撃です。ここでは、多くの企業がメールシステムとして活用しているOutlookを狙ったサーバー攻撃について解説します。

Outlookに潜むセキュリティの脅威は主に以下の2つです。

スパムメール・フィッシングメール

スパムメール・フィッシングメールは、広告や詐欺目的、ウイルスなどを含む迷惑なメールのことです。メールの開封者に、ウイルス感染やフィッシング詐欺を仕掛けたり、また添付されているリンクやファイルの開封を誘発したりと、個人情報を盗むといったことを目的としています。最近では、実在する企業装ったメールも増えており、例えば、銀行口座の更新を促すメールを送り、実際のサイトに似せた偽サイトに誘導して口座情報を入力させるといった被害も増えています。注意深くメールを確認すれば、被害を受けることはないですが、大量に送られることもあるためインシデントを引き起こしやすいサイバー攻撃ともいえます。

悪質なフィッシングメールに注意

Emotet

2014年に発見されたマルウェアの一種であるEmotetも、近年注意すべきセキュリティ脅威です。マルウェアとはコンピューターシステムやデバイスに侵入し、悪意のある目的を達成するために設計されたソフトウェアのことを指します。企業のメールシステムを標的に請求書や納品書を装ったメールを送りつけることで、添付ファイルを開封させ、侵入するというケースがほとんどです。

また被害を受けたパソコン内で自己増殖し、他のパソコンに感染を拡大させたり、感染したコンピューター内で他のマルウェアをダウンロードするためのバックドア(情報システム内部への侵入経路)を作成したりすることもあります。このような、高度な攻撃手法と拡散能力が脅威といえるでしょう。

Outlookにおけるセキュリティ対策の重要性

Outlookは初期設定ではそこまでセキュリティリスクを軽減できないため、セキュリティ対策をきちんと行うことが重要です。ここでは、初期設定での活用を勧めない理由を紹介いたします。おもな理由は以下の2つです。

  • HTML形式の脆弱性
  • 添付ファイルの開封でウイルスに感染する危険性

HTML形式の脆弱性

Outlookの初期設定はHTML形式です。HTMLを活用することでフォントや文字色の変更をはじめ、文字の背景色変更や、画像の差し込みなど、Webページのようなデザイン性豊かなメールの作成が可能です。しかし、その反面ウイルスが組み込まれやすくなるので、セキュリティリスクが存在します。実際に上記の理由から、リスクを避けつつOutlookでメールを使うため、初期設定されているHTML形式を禁止する企業もあるほどです。

添付ファイルの開封でウイルスに感染する危険性

添付ファイルを無暗に開かないということは初歩的なウイルス対策のひとつです。しかし、Outlookの初期設定では、添付ファイルのプレビューを確認可能です。そのため、この設定のままにしておくと、添付ファイルを開かずにプレビュー表示しただけでも、ファイルにEmotetなどのウイルスが仕込まれていれば感染してしまいます。

Outlookの主なセキュリティ対策方法

では、実際にどのように設定をかえることでセキュリティリスクの軽減につながるのかを解説しましょう。Outlookのセキュリティ設定を変更する際は、まず以下の手順でトラストセンターにアクセスする必要があります。

  1. 画面左上の「ファイル」タブをクリック
  2. 画面左下の「オプション」をクリック
  3. ポップアップ画面の左下「トラストセンター」をクリック
  4. 「トラストセンターの設定」をクリック

メールメッセージ

まずはHTMLメールに対するセキュリティリスクの軽減についてです。これは受信するメールをテキストメールで表示することで問題の解決へとつながります。設定方法はトラストセンターの「電子メールのセキュリティ」から行えます。

「電子メールの暗号化」の上から3つ目「署名されたメッセージを送信する際は、クリアテキストで送信する」にチェックを入れてください。次に「テキスト形式で表示」にある2つのチェックボックスにチェックを入れたら、メールメッセージのセキュリティ設定は完了です。これで、テキストメールでの受信設定となります。

添付ファイル

添付ファイルのプレビュー表示設定を変えるには、トラストセンターの左側にある「添付ファイルの取り扱い」をクリックしましょう。ここでは「校閲結果の返信」はチェックを外し、「添付ファイルとドキュメントのプレビュー」にはチェックを入れることで設定が完了します。この設定を行うことで、プレビュー画面からのウイルス感染を防ぐことが可能です。

自動ダウンロード

もしHTML形式のメールを使う場合は、メールを開封時に、画像を自動でダウンロードするかどうか設定することをおすすめします。自動ダウンロードを許可すると、使用しているメールアドレスの存在がわかってしまい、迷惑メールの標的にされやすくなります。そこで、自動ダウンロードをオフにする設定をして対策しましょう。
まずトラストセンターの画面左にあるメニューから「自動ダウンロード」をクリックします。次に「HTML電子メールやRSSアイテム内の画像を自動的にダウンロードしない」にチェックを入れましょう。
最後に同項目内の一番下「電子メールの編集、転送、返信の際、コンテンツをダウンロードする前に警告する」および「暗号化または署名されたHTMLメールメッセージ内の画像をダウンロードしない」にチェックを入れたら設定完了です。

Outlookの主なセキュリティ対策方法

ここまで、初期設定の変更だけでできる初歩的なセキュリティ対策方法を解説しました。しかし、これだけで対策ができるほどサイバー攻撃は甘くはありません。ここからは、より発展的な対策方法について解説していきます。

アカウントの不正ログインの防止

セキュリティインシデントは、スパムメールをはじめとした迷惑メールの受信だけが原因ではありません。アカウントの不正ログインなどにより、メールデータを抜き出されるといったことも考えられます。そのため運用管理方針を策定し、例えばパスワードポリシーやアカウント管理などをきちんと行うことが求められます。強力なパスワードを設定する、パスワードの有効期限を設定なども、アカウントの不正ログインの防止に繋がります。また、アカウントの作成、削除やアクセス権限の設定を適切に行うことも重要です。

Outlookのデータを定期的にバックアップ

情報の流出だけではなく、情報の消失に対しても対策が必要です。そのため、Outlookのデータを定期的にバックアップしておきましょう。できれば、手動ではなく自動バックアップを行い、外部のストレージやクラウドなどにバックアップ先は設定するのがおすすめです。
こうすることで、ランサムウェアやその他のマルウェアによってデータが暗号化された場合でも、システムの損失を回避することが可能です。また災害といった、予期せぬインシデントによるデータの損失を回避することができます。

Outlookのデータを定期的にバックアップ

Outlook起動時にセキュリティ警告が出る理由

ここまで、セキュリティ対策について紹介しました。しかし、セキュリティ対策を行っているのにもかかわらずOutlook起動時にセキュリティ警告が出るという現象が起きることがあります。ここでは、なぜそのようなことが起きるのかを簡単に説明します。原因を把握すれば、落ち着いて対処できることばかりですので、参考にしてみてください。

Microsoftアカウントの重複登録

セキュリティ警告が表示される原因のひとつとして考えられるのが、Microsoftアカウントの重複登録です。対処法としてはOutlookで使用しているアカウントが複数ないか確認しましょう。使用していないアカウントがあれば削除するのがおすすめです。

オンラインサービスに未接続

オンラインサービスに未接続の場合も、セキュリティ警告が表示される要因のひとつです。まずは、オンラインサービスに接続されているかを確認しましょう。画面上部「送受信」タブの「オフライン作業」が網掛けになっていれば、オンラインサービスに接続されていない状態です。
この場合はクリックしてオンラインサービスに接続してください。網掛けが消えれば、問題なく使えるでしょう。

パスワードの未設定/登録不備

ログイン時にパスワードが未設定や、パスワードの登録に不備がある場合も原因として考えられるため確認してみましょう。パスワードが未設定であれば、アカウントとパスワードを入力したら、「資格情報を記憶する」にチェックを入れます。

パスワードの登録不備はOutlookとWindowsの資格情報が一致していないことが要因なので、Windowsの資格情報をリセットするため、以下の手順で作業を必要です。

  1. 「スタート」から「Windowsシステムツール」をクリック
  2. 「コントロールパネル」をクリック
  3. 右上の検索窓に「資格情報」と入力
  4. 「資格情報マネージャー」の「Windowsの資格情報」をクリック

上記の手順で進めたら、「MicrosoftAccount:user=自分のメールアドレス」を見つけましょう。資格情報を展開したら「削除」をクリックし、一覧から「MicrosoftAccount:user=自分のメールアドレス」が消えていれば完了です。

セキュリティ強度を高めるサードパーティ製品

ここまで、Outlookの設定のみで行えるセキュリティ対策について解説してきました。しかし、ここまでの解決策はあくまでも一定のセキュリティを担保するための一条件に過ぎないとえいます。またHTMLメールの利用が常態化している現在においては、実用性の高い対策ともいえません。そこで最後に、さらにセキュリティを強化するサードパーティ製品について紹介します。

SaaS認証基盤「HENNGE One」

HENNGE Oneは「SSOを中心とするアクセス制御」と「メール誤送信対策」というセキュリティ対策の中でも必ず手をつけるべき二大要素を同時に導入することが可能なツールです。Outlookの連携により、以下の2つの観点から、ユーザーはより安全なメール運用が行えます。
以下で、HENNGE Oneの機能について具体的に紹介します。

メール誤送信軽減を実現

Outlookに対して、フィッシング攻撃といったコンテンツやURLに対する脅威の保護を行うだけではなく、誤送信対策フィルター機能で取引先など送信先に合わせたフィルタールールの設定が行えます。一時保留や上司承認など送信メールに対する制限付与も行えるため、誤送信対策に有効です。

不正アクセス対策にも有効

シングルサインオンを実現し、ID/パスワードを統合し、1度のユーザー認証によってログインが可能です。また端末認証や本人認証などの多要素認証で未許可ユーザーのアクセスを制御する機能も備わっているため、パスワード管理の手間を軽減しながら、不正アクセス対策も同時に行えます。

テクバンのHENNGE One導入支援サービスについては、以下のページでもご紹介しておりますので、そちらもご参考にしてください。
HENNGE One導入支援サービス

また、詳しい製品説明を知りたい場合は、以下の資料紹介ページもご確認ください。
アクセス制御と誤送信メール対策をオールインワンで! HENNGE One

不正アクセス対策にも有効

img-light

Outlookのセキュリティ強化で情報漏えいを未然に防ぐ

Microsoftのお役立ち情報を知って喜ぶ男女

Microsoft 365を導入している企業のほとんどが活用しているOutlook。メールの送受信はセキュリティインシデントが起こりやすいからこそ、初期設定だけでの対応ではなくセキュリティソフトやスパムフィルターの活用といった対策を行うことで、情報漏えい被害を最小限に抑えることができます。

今回ご紹介したHENNGE Oneを含め、テクバンではメールセキュリティにおける数々のソリューションをご用意しておりますので、ぜひ一度ご相談ください。

※本記事の内容は2023年6月時点のものです。Microsoft製品の仕様や利用環境は変更する場合があります。

最適なセキュリティ環境で得られる安心感は、企業の成長、ビジネスの活性化、イノベーション創出につながります。包括的なセキュリティ強化を検討してみませんか。