このページの本文へ

ネットで「ヒヤっとした話」を集めよう 第11回

業務メールに紛れ込む標的型メール攻撃の罠を見抜く

社内訓練でまんまと引っかかってヒヤリ!

2022年03月29日 18時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

ネットでヒヤッとした体験をこっそり告白

 アスキーのYouTubeチャンネル特番「アカウント乗っ取り? SNSで身バレ!!!? ネットでヒヤッとした話~【アスキー×マカフィー】がパネルで対策!」からスピンアウトした、「思わずヒヤッとした、ネットにまつわる怖い話」を紹介するこの連載。

 今回は「標的型攻撃メールの社内訓練に引っかかってヒヤッとした」というお話です。

業務メールをいつもの調子で処理した結果……

 納期間際の繁忙期、突然同僚が「なんじゃこりゃー!」と叫び出したので、なんだなんだと皆で机の周りに集まったら、パソコンのブラウザ画面に「セキュリティ向上週間実施中です。この表示を見た方は情報システム部門まで出頭せよ」的な文言が。同僚曰く、情シスからアカウント更新のメールが届いたのでURLをクリックしたらブラウザが開いてこの表示が出たとのこと。

 要は情シス主導の抜き打ちセキュリティ検査だったわけですが、残業続きで半分壊れていた私たちは、「ウチの情シスも本物の情シスみたいな真似ができるようになったんだねえ」「すごーい、私も押して見よう」などと盛り上がり、偽フィッシングサイトへのURLを連打しまくっていたら後でえらい怒られました……。

 このところ「標的型メール攻撃」が増えているそうです。これはサイバー犯罪者たちがマルウェアを送り込んだりフィッシング詐欺を仕掛けたりする場合に、むやみやたらとメールをばら撒くのではなく、企業や公共事業者といった特定のターゲットを狙って仕掛けるメール攻撃です。

 フィッシングで企業の情報漏洩を目論んだり、ランサムウェアで公共事業を止めて身代金をせしめたりしようとする場合には、狙いを定めて攻撃したほうが効率的であるという、犯罪者たちの悪知恵ですね。

 そんな標的型メール攻撃への対策として、日常的な危機回避の養成に活用されているのが、今回のヒヤリ案件で投稿者さんたちが体験したメール訓練というわけです。取引先を装ったり、場合によっては今回のように情シスを騙ったりして送られくるメールは、標的型メール攻撃へ対処できるかどうかのまさに“試金石”です。

 いかにもな件名(サブジェクト)のメールならスルーできるでしょう。しかし、業務に関係のある件名だったり差出人だったりすれば、そのメールを無視することもできません。メールを開き「添付ファイルを開く前」「リンクをクリックする前」に、それが正しいかどうかを見極める、そんな素養を養うための訓練メールというわけです。

 今回のヒヤリ案件では「アカウントの更新」が偽られたわけですが、その真贋を見極めるスキルが、残念ながら同僚の方には欠けていたことになります。しかしある意味では「訓練メールで良かった」ということでもあります。

 投稿者さんをはじめとした部署の皆さんも、その慌てふためく同僚の姿を見て学んだところがあるでしょう。しかしながらその後妙なテンションのなか、わざわざ引っかかってみて情シスの仕事を増やすとは……。きっと情シス担当者はヒヤリどころか「イラリ」としたことでしょう。

アナタのとっておきの「ヒヤッとした話」を教えてください!

 ご自身あるいはご家族が遭遇した体験談、はたまた友人知人から聞いた話でもOK。純粋(?)なサイバー攻撃から、ネットで交流する上でのリテラシーにまつわるイザコザまで広くお待ちしています。ご応募はこちらから。

皆様のとっておきの話、投稿お待ちしております!

カテゴリートップへ

この連載の記事