会社員A氏は、朝出勤したらいつもメールの確認することが日課です。それは、上司からの業務指示や取引先からのメールが、届いていないか確認するためです。
そして、丁度給料日でした。A氏は、給料明細のメールが来ていると思いいつものようにクリックしIDとパスワードを入力しました。しかし口座情報が間違っているとメッセージが出たのです。
2回、3回と入力しても、やはり同じようにメッセージが出ました。そこで、経営管理部に連絡したところ管理部からは給料明細書をまだ発行していないという返信が返ってきたのです。まさか自分が?フィッシングにあったなんて。
ハッカーは、会社のメールサンプルを容易に手にすることができます。給料明細書、税務会計書、送受信メールなどをコピーして活用するのです。そしてコピーしたメールに悪性コード入れるだけで(口座情報、盗み取るためのログイン画面、自動で悪性ファイルをダウンロードできるサイトに接続)ハッカー達が望む情報を得ることができるのです。
そして、利用者がクリックをした瞬間IDとパスワードの情報が簡単に奪われ、利用者が知らない間に自分のPCにアンチウイルスに感染させてしまうのです。
このようなメールをフィッシングメール(スパムメール)といいます。最近では、さまざまなフィッシングメールが急速に増加し利用者を簡単に騙しています。
また、ランサムウェアと結合し、ユーザーの仮想通貨を盗むことや、企業の業務ファイルを暗号化した後、ビットコインを送れと脅迫する事例が増加しています。
さて、一般社員がどれだけ迷惑メールに簡単に感染するのでしょうか。サイバー危機対応訓練の結果を見ると、驚く結果が出ました。
みなさんは、LINE、Google、金融サイト、ショッピングサイトまですべてのサイトで異なるIDまたはPWを使っていますか?インターネット利用者の大半は同様のIDとPWを利用しているのです。万一、IDやパスワードをハッカーが突き止めたらどのようなことが起きるでしょうか。
特定の人のLINEやGoogleにログインし、どのようなことに関心をいだいているのかがわかり、なりすまして友達にお金送るように要求することができます。また、ショッピングサイトで事前に登録しておいたクレジットカード情報で自動決済を通じ高価な物を購入することもできます。
さらに会社のグループウェアにログインし掲示板にいたって普通のファイルであるかのように偽装した悪意のあるソフトウェアをインストールしたのちに会社全体のPCがランサムウェアをインストールすることもできるのです。
スパムメールは少し注意すれば十分に防ぐことができます。以下が模範事例です。まず、発信者情報を常に確認すること。送った人の「詳細をみる」をクリックすれば実際に送信したメールアドレスを確認することが可能となります。
出処が不明瞭なメールの添付ファイルやURLのクリックには十分な注意が必要であり、メールには個人情報をむやみに入力してはいけません。そして政府機関などになりすましをする電子メールは特に注意をしなければなりません。
このようにアンチスパム/ウイルスソリューションを利用し、スパムメールとメールアドレスへのサーバー攻撃を1次遮断することが一番基本的なセキュリティであります。また、年々巧妙になるサイバー攻撃の手法に対抗するためには最新のスパムメールのトレンドを反映した利用者が対象のスパムメール模擬訓練も定例化しなければならないです。
持続的に利用者セキュリティ教育及び模擬訓練を通して社員のセキュリティ認識を強化しセキュリティ対策を習慣化することが会社の安全を守ることに繋がります。
この他にも個人が基本的に守るべき予防の心得として、△ワクチンソフトのインストールおよび定期的なアップデート、△Windows、スマートフォン運用システム(OS)は最新版を維持、△サイトごとにID,PWを設定しログイン情報を随時変更、△2重認証機能を利用しアカウント管理の強化をすることです。
このように生活の中で少しずつ注意していくことで基本的な予防と心得をしっかり守っていればスパムメールから個人情報など安全に守ることができます。セキュリティ対策は技術ではなく普段の習慣から守ることができることを必ず覚えておきましょう。