ネットで「ヒヤっとした話」を集めよう 第11回

業務メールに紛れ込む標的型メール攻撃の罠を見抜く

社内訓練でまんまと引っかかってヒヤリ！

ネットでヒヤッとした体験をこっそり告白

　アスキーのYouTubeチャンネル特番「アカウント乗っ取り? SNSで身バレ!!!? ネットでヒヤッとした話～【アスキー×マカフィー】がパネルで対策！」からスピンアウトした、「思わずヒヤッとした、ネットにまつわる怖い話」を紹介するこの連載。

　今回は「標的型攻撃メールの社内訓練に引っかかってヒヤッとした」というお話です。

　このところ「標的型メール攻撃」が増えているそうです。これはサイバー犯罪者たちがマルウェアを送り込んだりフィッシング詐欺を仕掛けたりする場合に、むやみやたらとメールをばら撒くのではなく、企業や公共事業者といった特定のターゲットを狙って仕掛けるメール攻撃です。

　フィッシングで企業の情報漏洩を目論んだり、ランサムウェアで公共事業を止めて身代金をせしめたりしようとする場合には、狙いを定めて攻撃したほうが効率的であるという、犯罪者たちの悪知恵ですね。

　そんな標的型メール攻撃への対策として、日常的な危機回避の養成に活用されているのが、今回のヒヤリ案件で投稿者さんたちが体験したメール訓練というわけです。取引先を装ったり、場合によっては今回のように情シスを騙ったりして送られくるメールは、標的型メール攻撃へ対処できるかどうかのまさに“試金石”です。

　いかにもな件名（サブジェクト）のメールならスルーできるでしょう。しかし、業務に関係のある件名だったり差出人だったりすれば、そのメールを無視することもできません。メールを開き「添付ファイルを開く前」「リンクをクリックする前」に、それが正しいかどうかを見極める、そんな素養を養うための訓練メールというわけです。

　今回のヒヤリ案件では「アカウントの更新」が偽られたわけですが、その真贋を見極めるスキルが、残念ながら同僚の方には欠けていたことになります。しかしある意味では「訓練メールで良かった」ということでもあります。

　投稿者さんをはじめとした部署の皆さんも、その慌てふためく同僚の姿を見て学んだところがあるでしょう。しかしながらその後妙なテンションのなか、わざわざ引っかかってみて情シスの仕事を増やすとは……。きっと情シス担当者はヒヤリどころか「イラリ」としたことでしょう。

アナタのとっておきの「ヒヤッとした話」を教えてください！

　ご自身あるいはご家族が遭遇した体験談、はたまた友人知人から聞いた話でもOK。純粋（？）なサイバー攻撃から、ネットで交流する上でのリテラシーにまつわるイザコザまで広くお待ちしています。ご応募はこちらから。

皆様のとっておきの話、投稿お待ちしております！