Gmailが普及しているとはいえ、わざわざGmailの画面を開くのが面倒で、つい会社のメールアドレスで学生時代の友人に飲み会の連絡をしてしまった――そんな経験がある人は少なくないだろう。また、仕事の連絡も私用の連絡も一つのメールアドレスでまとめて受け取りたいということで、メールでの連絡は会社のアドレスに統合している人もいるだろう。

しかし、会社のメールアドレスを個人的な連絡に使うとまずいことがいろいろとある。カスペルスキーのブログ「業務用メールアドレスを個人の目的で使ってはいけない5つの理由」をもとに、会社のメールアドレスを私用で使ってはいけない理由を紹介しよう。

サイバー犯罪者にプロファイリングされてしまう

現在、特定の人が使っているSNSのアドレスやオンラインサービスのアカウントなどを探し出すためのツールがある。サイバー犯罪者は、特定の人物フィッシングメールを送るため、事前にこうしたツールでその人に関する情報を集める。

そのため、SNSやオンラインサービスなどで仕事用のメールアドレスを使っていると、サイバー犯罪者によってプロファイリングされやすくなり、結果として、企業をターゲットとしたサイバー攻撃の入り口として狙われやすくなってしまうという。

スピアフィッシングが仕掛けられやすくなる

フィッシング攻撃の一つに、標的を定めて攻撃を行う「スピアフィッシング」がある。例えば、2015年に125万人分もの個人情報が漏洩したい日本年金機構の事件の手口も、スピアフィッシングだったといわれている。

カスペルスキーによると、犯罪者は標的が会社のメールアドレスを業務以外の用途で使っていることに気付いた場合、この人物はフィッシングメールに引っかかる可能性が高いと判断し、そのオンラインサービスから届いた正規の通知メールに見せかけたメールを送付することがあるという。

サイバー犯罪者に時間の猶予を与えてしまう

一般的に、サイバー犯罪の成功に必要とされるものは「時間」と言われている。そのため、犯罪者たちが活動していることは気付かれないほど有利となる。

Googleをはじめオンラインサービスの提供者は、不明なIPアドレスからログインの試みやパスワード変更の試みがあった場合、すぐにアカウントの持ち主へ通知が送る仕組みをとっている。いつもと異なるデバイスからGmailにアクセスした場合、Googleから「新しいパソコンからのログインに成功しました。ログインを確認してください」といったメールが送られてくる。

こうした仕組みをサイバー犯罪者は逆手に取り、通知でメールボックスをあふれさせる場合があるという。会社のメールアドレスをさまざまなオンラインサービスで使っていると、オンラインサービスのアカウントに対してサイバー犯罪者が総当たり攻撃を仕掛けてきたとき、警告メールが大量に届いて収集がつかなくなくなってしまう可能性がある。

不審なメールが届きやすくなる

自分のメールアドレスが漏洩しているかどうかを確認できるWebサイトとして、「Have I been pwned?」が知られている。このサイトでは、メールアドレスや電話番号を入力すると、その値にひもづけられているアカウントデータが流出しているかどうかを確認できる。過去のセキュリティインシデントで流出したアカウントデータを検索し、結果を教えてくれるのだ。

ご存じの通り、世界中で情報漏洩が発生しており、漏洩したデータは売りに出され、フィッシングメールや悪意ある添付ファイルの付いたメールの大量送信に悪用されることになる。こうしたデータを集計したサイトが「Have I been pwned?」だ。基本的に、メールアドレスにひも付くオンラインサービスが多ければ多いほど、悪意あるメールを受け取る可能性が高まるため、会社のアドレスをむやみに使うのは控えるべきと言える。

  • LINE Pay をかたるフィッシングメールの例 引用:フィッシング対策協議会

危険なメールに気付きにくくなる

そして、1つのメールアドレスにおいて、目にするメールの量やバリエーションが増えることで、問題が生じる可能性もあるという。

例えば、さまざまなタイプのメールが届いていると(仕事に関係のないメールが仕事関連のメールの中に混ざっているなど)、危険なメールが紛れ込んでいても気付きにくくなる。業務時間中に個人的なメールを読む機会が多ければ多いほど、悪意ある添付ファイルを開いたり、フィッシングサイトへのリンクをクリックしたりしてしまう可能性が高くなるとのことだ。