情報セキュリティ対策としては超定番で、情報セキュリティ対策の入り口とも言えるのが、なりすましメールへの対策です。情報セキュリティ対策において非常に恐ろしいのが、どんなに堅牢なセキュリティ・システムを実装していたとしても、”人”を狙われることによって情報が流出するリスクをゼロにすることは難しい点です。まさにその”人”を狙う手口がなりすましメールというわけですが、最近、自社の社長になりすました「社長なりすましメール」が増えています。実際弊社でも社長なりすましメールが送られてきたという従業員からの報告があり、多くの企業にとって決して他人事ではない事案と言えるでしょう。
よくある手口のパターン
社長なりすましメールには典型的なパターンが存在します。もちろんこれ以外のパターンも存在、あるいは今後登場する可能性はありますが、現在存在するパターンを知っているだけでも、見抜ける確率は大きく高まりますので、ぜひ押さえておきましょう。
①社長になりすました送金指示
メールに直接送金指示が記載されているパターンです。M&A案件の協力、取引先との決済処理に関して緊急の対応が必要など、適当にあり得そうな理由をつけて送金を指示する内容です。
②給与改定や人事異動などを理由にデータダウンロードさせる
こちらもあり得そうな理由をつけて、データをダウンロードさせるというパターンです。
実際にダウンロードされるデータはウイルスで、そこから感染し、最悪の場合社内システム全域まで乗っ取りにあうような可能性もあるため注意が必要です。
③個人のLINEアカウントを送信させる
業務連絡のためなどの理由をつけて個人のLINEアカウントのQRコードを送信させる手口です。
その後LINEグループを作成させ、経理担当を追加させ、経理担当に対して送金指示を出すことによって、確実に金を騙し取ることを狙った手口です。
王道のパターンとしては上記の手法ですが、LINEアカウントを知られてしまうということは、個人に直接つながる情報を知られてしまうということであり、家族なりすまし、警察官なりすまし、投資詐欺、ロマンス詐欺 etc…別の詐欺手口にも悪用されてしまう可能性も考えられます。
どうやって送っているのか
なりすましメールに騙されてしまう可能性のひとつとして、自分のアドレス宛に届くことがあるというものが挙げられます。例えばinfoやsalesなど、企業でよく使う一般的なアドレス宛に届いている場合なら、なりすましだということにも気づきやすいでしょう。しかし個人のアドレスに直接送られてくると、自分を知っている人からの連絡だという潜在的な思い込みが強くなるので、より引っかかりやすくなってしまいます。では、どうやって個人宛のなりすましメールを送っているのでしょうか。
①Webサイト等公開情報からの収集
最も典型的なパターンで、ホームページや採用ページ、プレスリリース等、規模感は問わず公開されている情報の中に紛れ込んでしまっている場合、その情報を取得されて送信対象にされている可能性があります。
②メールアドレスの推測
上記に該当していないのに送られてくる場合は、このパターンの確率が非常に高いです。日本の企業のメールアドレスの作成方法には、よくあるパターンが存在します。そのパターンに当てはめてあり得そうなメールアドレスを自動生成して送信しているケースがあります。
yamada@——.co.jp
t-yamada@——.co.jp
taro.yamada@——.co.jp
yamada.taro@——.co.jp
上記のようなパターンに当てはめて自動的に生成しているということです。
メールアドレスにはわかりやすさも必要であることも確かですので、このメールアドレスの設定方法自体がいけないというわけではありませんが、より簡単なアドレスであるほどなりすましメール等の送信対象になる確率も高いという点は押さえておきましょう。
とはいえ上記の中でも、フルネームを使用しているtaro.yamada@やyamada.taro@などは、名字のみに比べて完全一致できる確率は大幅に下がりますので、簡易的に対策するならこういったルールに変更するというのも手でしょう。ただすでに発行済みのメールアドレスを変更するというのも実務上の影響が大きいので、現在使用しているメールアドレスが比較的簡易だという場合には、送られてくるリスクがあることをきちんと把握しておくのが一番です。
なりすましを見抜く対策
社長なりすましメールは、何かアクションをしてしまう前になりすましメールだと見抜けることが最も重要です。
①社長なりすましメールが増えていることを頭の片隅に置く
何よりもまず、社長になりすますメールが現在増えているということを頭の片隅に置いておくことが重要です。なりすましメールは多くの場合、どこかにちょっとした違和感があるはずです。その違和感をスルーしてしまうのか、ちゃんと確認する作業を踏めるのかの違いを決めるファクターとして、なりすましの可能性を考慮しているかというのが大きく影響するはずです。
②社長の普段の行動との違和感を察知する
社長から直接連絡が来た、と思うと重大なことのように思い込んで騙されてしまうというのが、社長なりすましメールの恐いところです。しかし冷静に考えると、おそらく多くの場合では普段社長が取るとは到底思えないような行動であったり、言い回しが含まれていることに気づけるはずです。
③送信元のメールアドレスを確認する
少しでも違和感を覚えた場合は、まず送信元のメールアドレスを確認しましょう。社長がメールの乗っ取り被害にあっていない場合は必ず社長のアドレスとは違うアドレスで送られてきているはずです。特にドメイン(@以下の部分)は注意深く見るようにしましょう。似ている文字(lと1など)を使って偽装しようとしているケースがあり、パッと見では気付けない可能性がありますが、よく見れば違うことが見抜けるはずです。
④本人に直接確認する/難しければ上長に相談する
最終的には本人に直接確認を取れば確実になりすましかどうかを判断できます。この場合、対面もしくは電話で、偽装ができない方法を使って確認を取るのがいいでしょう。社長に直接会ったり電話したりすることが難しい場合は、たんに上長に相談するだけでもいいでしょう。複数の目で見れば怪しさにも気づける可能性もより高まるはずです。
以上、最近増加している社長なりすましメールについて解説しました。
大手の企業でも情報セキュリティ事故の発生があり、企業の情報セキュリティはより狙われやすくなっています。そして情報セキュリティの対策におちては、システム面での対策ももちろん重要ですが、同じくらい皆さん一人ひとりの心がけも重要です。ぜひ積極的に情報収集を行い、セキュリティ事故防止に努めていただけたらと思います。