もしも怪しいメールが会社に届いたら、あなたはどう対処しますか?
1.こんなメール見たことありますよね?
みなさんこんにちは。社員のスズキです。
早速ですが、↓画像のような怪しいメールやショートメッセージサービスのメッセージを受信したことはありませんか?
もはや「古来より伝わる」といって差し支えないでしょう。
これはフィッシングという詐欺の手法の一種です。
メールやショートメッセージサービスの本文のURLリンク「https://~~」から公式に見せかけた偽のWebサイトに誘導し、そこからIDやパスワード、クレジットカード番号などの重要な情報入力させて、それを不正利用してやろうという魂胆です。悪質ですね。
対処法はご存じですか?
これはいたって簡単。
まず身に覚えがない場合は、基本的には無視しましょう。
万が一身に覚えがある場合は、メール内のURLリンクからではなく、公式のWebサイトやアプリ、問い合わせ窓口などから確認するようにしましょう。メール本文の情報を一旦忘れ、公式の情報を改めて確認するのがポイントです。
「古来より伝わる」手法なので、対処法をご存じの方も多いことでしょうが、これにつきます。
ではもし仮に、同じようなメールが会社のPCや会社の携帯電話に届いた場合はどうでしょう?適切に対処できる自信ありますか?
2.これがいわゆる標的型攻撃メール
たとえば、こんなメールが会社のPCに届いた場合、みなさんはどのように対処しますか?
このコラムをご覧のみなさんは心が清らかで、一点の汚れもないことでしょうから無縁かもしれませんが、私のような卑しい人間はこのような文言に常に心を揺り動かされて生活しております。
「なるほど、賞与は大事だな。
この手の対応を怠って査定に響いちゃまずいからな。
よし、添付ファイルを確認して、と・・・
ん?あれ?おかしいな?PCが動かなくなっちゃったぞ?」
といった具合に、引っかかっちゃう人もいるかもしれませんね。
このように、受信者の興味をひく話題を巧みに利用し、添付ファイルの開封やURLリンクへの誘導を促し、マルウェア(悪意のあるプログラム)に感染させるメールのことを、今は標的型攻撃メールと呼んでいます。
みなさんも最近↓こんな話題をよく耳にしていませんか?
やれ「ランサムウェアがどうのこうの」だとか「Emotetがどうのこうの」だとか。
これらの悪だくみのきっかけや糸口になることが多いのがこの標的型攻撃メールです。
困ったものです。どう対処すればよいでしょうか?
3.対処しましょう
対処法はおおまかに3ステップあります。本当におおまかに。
- 標的型攻撃メールかどうか見分ける
- むやみに触らない
- 上司や社内の担当部門に報告する
<1. 標的型攻撃メールかどうか見分ける>
下記のような点に注意し、標的型攻撃メールかどうか見分けましょう。
- そもそもメールで連絡するような内容か
- 送信元メールアドレスが怪しくないか
- 本文中の日本語の言い回しが不自然ではないか
- 添付ファイルが怪しくないか
メールのフィルタリング機能で「迷惑メール」として振り分け・回避できるケースもありますが、この手のメールは手口が巧妙化しており、やはり自分で対処する必要があるケースが多いのが現状です。
<2. むやみに触らない>
怪しいメールと思ったら、添付ファイルやURLリンクをクリックしないようにしましょう。
また、返信もしないようにしましょう。
<3. 上司や社内の担当部門に報告する>
怪しいメールと思ったら、下記のような点を上司や社内の担当部門に報告しましょう。
- 受信日時
- 添付ファイルやURLリンクをクリックしたか
- 受信後にとった行動
この「報告する」ってのがなかなかできないんですよ。つい抜け落ちてしまいます。
対処法はおおまかに上記の通りですが、これらの対処法ももはや「古来より伝わる」レベルに近いですよね。
でも、いざ本当にこんなメールが会社のPCに届いたとき、適切に対処できますか?
きちんと報告できますか?
さらには、ここは自宅ではなく会社でのケースを想定しているので、同僚のみんなも適切に対処できていると思いますか?
4.実際の攻撃を想定した訓練のおすすめ
火災や地震などの災害と同じで、頭ではわかったつもりでも、いざ実際に行動するとなると、適切な行動をとれなかったりするものです。
火災や地震などの災害であれば、それに備える「防災訓練」があると思います。
みなさんも定期的に実施されていることでしょう。
これと同じような標的型攻撃メールの「防災訓練」にあたるサービスがあったらなあ、といった要望はございませんか?
実はそのサービス、弊社で提供がございます。
■定額でメール訓練と、セキュリティ研修がいつでも何度でも受けられるサブスク型セキュリティ教育サービス
標的型攻撃メール訓練 T3 with セキュリティ教育 | セキュリティ対策のラック (lac.co.jp)
■訓練結果報告書付きメール訓練サービス
法人向け標的型攻撃メール訓練サービスのご紹介 | 株式会社アクシス (f-axis.co.jp)
今回のコラムではあえてざっくりと書いた攻撃手法やその対処法ですが、これらを実戦形式でより詳しく・会社全体で体験いただけることでしょう。
もし関心がございましたら、お問い合わせ | 株式会社アクシス (f-axis.co.jp)までお問い合わせください。
それではまたお会いしましょう。