不定期配信　マウスちゃんとメモリ主任のＩＴ１年生②

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

営業や営業補佐の先輩方と机を並べて仕事に励むマウスちゃん。斜め前の机のビーさんが、「あれ？」と呟いたのに問いかけます。
「どうなさったんですか、ビーさん？」
「ＥＣサイトから『アカウント更新のご案内』ってタイトルのメールが来たんだけど、最近このサイトで会社の買い物なんかしたかなと思って。・・・リンクボタンが付いているから、押してみれば分かるかな・・・」
　ビーさんがリンクを押そうとするのを、マウスちゃん、慌てて止めます。
「待ってください！今メモリ主任を呼んできますから！」
　マウスちゃんに呼ばれてやってきた総務のメモリ主任。メールを見ると、
「なりすましメールの可能性がありますね。」
　メモリ主任の言葉にマウスちゃん、息を呑みます。

「なりすましですか？」
「はい。有名企業、ＥＣサイト、クレジットカード会社といった、なじみのある企業であるかのように偽装してメールを送り、偽サイトに誘導して情報などを盗む攻撃です。典型的な手口としては

①「アカウント情報の確認」といったタイトルでメールが来る。
②「再ログインしないとアカウントが使えなくなります」等の文面で不安をあおり、メール本文のリンクを押させる。
③誘導した偽サイトでアカウント情報を入力させ、悪用する。

といったものですね。『フィッシング詐欺』と呼ばれる古典的な手法ですが、最近は数も増えていますし、巧妙化しているんですよ。」
「巧妙化？」
「まず、普段なじみのある企業からのメールというだけで人は信用しがちですし、メールアドレスもいかにも公式のものであるかのように偽装している場合が多いです。偽サイト自体も対策ソフトに引っかからないように工夫しているので、企業側の対策も難しくなっているのが現状です。」

「自衛が大切、ということですね。もし、なりすましかも、っていうメールが来たら、どうすれば良いですか？」
「そうですね。

①怪しいメールは開かない。
②メール自体を開いてしまっても、絶対にリンク先には飛ばない、ファイルは開かない。

が原則です。メールの本文を読んでしまって、自分のアカウントが大丈夫か確認したい、という場合でも、メール本文のリンクを押すのではなく、登録してある公式サイトのブックマークなどから確認して下さい。メール自体が怪しいかどうか分からない、という場合もありますから、普段からブックマークを使うように癖をつけておいた方が良いかもしれませんね。」

「一番大切なのは、冷静になる、誰かに相談する、ということなのかもしれませんね。この手の攻撃は、人の不安につけこんだり、勘違いや思い込みを悪用したりするものが多いです。まずは冷静に、ちょっとでもおかしいと思ったら立ち止まって誰かに相談すること。そうすれば、今回マウスさんがビーさんを止めたように、危険な行為を行ってしまうことを止められるかもしれませんから。」
　お手柄でしたね、とほめられて、マウスちゃん、真っ赤になります。ビーさんからもお礼を言われて照れながら、もっとセキュリティのこと、勉強したいな、とひそかに思うマウスちゃんなのでした。