標的型メールやビジネスメール詐欺への対応ノウハウ
~巧妙な不審メール~

今回は多くの人が困っているだろう不審メールへの対応について説明したい。読者の皆さまのメールやSMSには宅配便の不在通知、各種アカウントの変更依頼・情報更新依頼、Web会議への招待、製品やサービスの当選通知、支援金に関するお知らせなどを装う不審メール、不審メッセージが送られてきているのではないだろうか。こうした巧妙な不審メールへの対応ノウハウについて解説していく。

実施しやすい教育・訓練でリスクへのリテラシーを向上

メールやSMSに届く不審メール、不審メッセージに引っ掛かった場合、下記のような被害に遭う可能性が考えられる。

・電話番号、各種アカウント情報、クレジットカード情報、銀行口座情報など個人情報の窃取(ビジネスで使用するメールやSMSの場合は企業インフラのアカウント情報、顧客情報、従業員情報、機密情報、取引先情報)
・金銭的詐欺
・マルウェア感染(ランサムウェアによる脅迫など)

 メールやSMSにどのような不審メール、不審メッセージが届くのか、例を見てみよう。

 一つ目の例は「Update Storage now」をクリックさせることで、メールやイントラネットのパスワードを盗もうとするものだ。二つ目の例は添付ファイル「xxxxxxxx.zip」を開かせることで、マルウェア感染させようとするものである。

 では、このようなメールをどうやって見分けるのか。標的型メールやビジネスメール詐欺を検知および隔離できるメールシステムを導入することが理想ではあるが、高価であったり、稟議、導入に時間を要したりという課題がある。

 そしてシステムを入れたからといって完璧に被害を防止できるわけでもない。新たなシステムの導入有無にかかわらず、サイバー攻撃に対するリテラシーの向上を行う必要はあるため、まずはすぐに取り掛かれてリスクを低減できる教育・訓練を行うことが望ましい。

 教育は質疑応答やディスカッションができないeラーニングではなく、座学で最低でも半年に一回、また新人・協力会社社員受け入れ時には実施していただきたい。事業部長や本部長といった上位役職者と受講状況を共有し、全員の受講が確認できるまで上からフォローしてもらうことが重要である。

 内容としては標的型メールやビジネスメール詐欺に関することはもちろん、メールを利用するにあたってどのようなことに気を付けなければいけないかも説明してほしい。例えば内部不正につながる行為とその禁止について、誤送信やメール情報を含む業務用スマートフォンを紛失した場合のリスク、万が一不審メールでマルウェアに感染してしまった場合、どのようなことが起こるかなど、なるべく具体的に伝えてほしい。不審メールの被害については実際のランサムウェアの脅迫画面など、動画を用いるなどすれば、なお効果的である。

メールリスクに対する耐性を高めるための手法

利用中のメールシステムでシステム的に対処する

 メールソフトウェアで下記のような設定を行い、自分に注意喚起するとともに、マルウェア感染のリスクを減らす。

・要注意メールの赤文字表記設定
件名に [!] や [!!] を付与して赤文字で表示する。
[!]:社外からのメールで添付ファイル付きのメールやURLが貼付されているメール
[!!]:無料でアドレスの取得・利用ができるフリーメール

・HTML形式ではなくテキスト形式で受信する
HTML形式の場合、開いた瞬間にマルウェア感染するリスクがある。

・添付ファイルのプレビューをオフにする
プレビューで表示されただけでマルウェア感染するリスクがある。

標的型メールやビジネスメール詐欺を前提に常にメールを疑う

 下記のように常にメールを疑うことでリスクを減らす。

・安易に添付ファイルを開いたり、URLをクリックしたりしない。特にZIPファイルは危険である。
・メール送信者は知り合いかを確認し、知り合いでなければ、そのメールを受け取る理由、背景があるかを考える。お得感を感じるメール、仕事に関係なさそうなメールは基本的に怪しい。
・書かれている依頼事項は送信元の提供するWebページなど、メール以外でも案内され周知されている内容かを確認する。自動配信に見える警告・依頼メールや、社外ドメインからの警告・依頼メールは危険。
・メールの言葉遣いや内容に違和感がないかを確認する。日本語に不自然な箇所があったり、通常自分に連絡するはずのない人が送信元であったり、内容が曖昧な場合は危険。
・緊急の対応を求めるメールは怪しい。支払いが滞っているなどのメールはすぐに信用せず、相手先に電話など別の手段で問い合わせする。
・送信元のメールアドレスは正規のドメイン名かを確認する。下記のように判別しにくいドメインが使われる

(例1)正規ドメイン「@company-a.com」
    偽ドメイン「@compnay-a.com」

(例2)正規ドメイン「@smile.com」
    偽ドメイン「@smi1e.com」

標的型メール訓練とその効果的な活用方法

 標的型メール訓練は疑似的な標的型メールを実際に体験することで、社員のセキュリティ意識を向上させ、標的型メールへの免疫力や対応力を高めるものである。こうした訓練は一度実施して終わり、集計データを確認して終わりではもったいない。

 いろいろな尺度で比較し、その結果を公表し、競争心をあおる、過去実績と比較して改善・悪化を示すといったように、セキュリティ意識の向上や対応力の向上のために、より具体性を持って運用することが重要である。

 例えば尺度としては「グループ会社別開封率」「事業部別開封率」「役職別開封率(協力会社は意識・協力してもらえるよう別にカウントする)」が考えられる。

 それから開封した理由も集計し、各部門の会議で話題にし、記憶に残し、同じ失敗を繰り返さないように慎重さを身に付けさせる。

 ここまで標的型メール、ビジネスメール詐欺への対処について、自分の経験も交えながら解説してきた。疑うという行動は好きではないが、ここは疑うところから始めるしかない。システムや運用での対処は、実施していない部分があれば参考にしていただきたい。

master:
早稲田大学グローバル
エデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
扇 健一 氏