ネットでヒヤッとした体験をこっそり告白
アスキーのYouTubeチャンネル特番「アカウント乗っ取り? SNSで身バレ!!!? ネットでヒヤッとした話~【アスキー×マカフィー】がパネルで対策!」からスピンアウトした、「思わずヒヤッとした、ネットにまつわる怖い話」を紹介するこの連載。
今回は「標的型攻撃メールの社内訓練に引っかかってヒヤッとした」というお話です。
業務メールをいつもの調子で処理した結果……
納期間際の繁忙期、突然同僚が「なんじゃこりゃー!」と叫び出したので、なんだなんだと皆で机の周りに集まったら、パソコンのブラウザ画面に「セキュリティ向上週間実施中です。この表示を見た方は情報システム部門まで出頭せよ」的な文言が。同僚曰く、情シスからアカウント更新のメールが届いたのでURLをクリックしたらブラウザが開いてこの表示が出たとのこと。
要は情シス主導の抜き打ちセキュリティ検査だったわけですが、残業続きで半分壊れていた私たちは、「ウチの情シスも本物の情シスみたいな真似ができるようになったんだねえ」「すごーい、私も押して見よう」などと盛り上がり、偽フィッシングサイトへのURLを連打しまくっていたら後でえらい怒られました……。
このところ「標的型メール攻撃」が増えているそうです。これはサイバー犯罪者たちがマルウェアを送り込んだりフィッシング詐欺を仕掛けたりする場合に、むやみやたらとメールをばら撒くのではなく、企業や公共事業者といった特定のターゲットを狙って仕掛けるメール攻撃です。
フィッシングで企業の情報漏洩を目論んだり、ランサムウェアで公共事業を止めて身代金をせしめたりしようとする場合には、狙いを定めて攻撃したほうが効率的であるという、犯罪者たちの悪知恵ですね。
そんな標的型メール攻撃への対策として、日常的な危機回避の養成に活用されているのが、今回のヒヤリ案件で投稿者さんたちが体験したメール訓練というわけです。取引先を装ったり、場合によっては今回のように情シスを騙ったりして送られくるメールは、標的型メール攻撃へ対処できるかどうかのまさに“試金石”です。
いかにもな件名(サブジェクト)のメールならスルーできるでしょう。しかし、業務に関係のある件名だったり差出人だったりすれば、そのメールを無視することもできません。メールを開き「添付ファイルを開く前」「リンクをクリックする前」に、それが正しいかどうかを見極める、そんな素養を養うための訓練メールというわけです。
今回のヒヤリ案件では「アカウントの更新」が偽られたわけですが、その真贋を見極めるスキルが、残念ながら同僚の方には欠けていたことになります。しかしある意味では「訓練メールで良かった」ということでもあります。
投稿者さんをはじめとした部署の皆さんも、その慌てふためく同僚の姿を見て学んだところがあるでしょう。しかしながらその後妙なテンションのなか、わざわざ引っかかってみて情シスの仕事を増やすとは……。きっと情シス担当者はヒヤリどころか「イラリ」としたことでしょう。
アナタのとっておきの「ヒヤッとした話」を教えてください!
ご自身あるいはご家族が遭遇した体験談、はたまた友人知人から聞いた話でもOK。純粋(?)なサイバー攻撃から、ネットで交流する上でのリテラシーにまつわるイザコザまで広くお待ちしています。ご応募はこちらから。
この連載の記事
-
第36回
デジタル
親戚宅のWi-Fiルーターが脆弱性でニュースになった製品でヒヤリ! -
第35回
デジタル
我が家の緊急連絡網がスカスカでヒヤリのち諦観 -
第34回
デジタル
母が詐欺メールに気づかないお人よしでヒヤリ&衝撃 -
第33回
デジタル
深夜までスマホどっぷりの甥っ子・姪っ子……ノンコントロールな様子にヒヤリ -
第32回
デジタル
ブラウザ操作を妨害する不快な「サポート詐欺」にヒヤリ&イラリ -
第31回
デジタル
中国から送られてきた荷物にヒヤリ! ブラッシング詐欺の不思議で迷惑な手口 -
第30回
デジタル
最強の詐欺メール回避術は「検索」~身に覚えのない請求にヒヤッとした話 -
第29回
デジタル
カフェや空港のUSBが危険!? 専門家のマル秘実験から生まれた都市伝説? -
第28回
デジタル
気づかない自分が悪いのか!? ダークパターンのワナにハマってヒヤリ! -
第27回
デジタル
おばあちゃんのスマホを確認してヒヤリ! お盆にアップデートしてあげて! -
第26回
デジタル
自分の個人情報がダークウェブで売られるわけない(笑)という思い込みでヒヤリ - この連載の一覧へ