10月になると、月末のハロウィンを心待ちにし、冬の気配を感じ始める方も多いかと思います。しかし、米国セキュリティ業界でさらに重大なことは、10月が「サイバーセキュリティ意識向上月間」であることです。フィッシング詐欺の認識を広めるために、今日の企業が直面している最大級の脅威であるフィッシング詐欺メールについて 、対策のポイントを10個紹介します。
ビジネスメール詐欺 (通称、BEC) は、2015年1月以降、民間企業に31億ドルもの損害を与え、消費者向けのフィッシング詐欺メールは過去最多の水準に達しています。ほとんどの人は、日常的に送られてくるメールの「差出人 (from)」欄を疑うことはありません。しかし、本来ならば、適切なツールがない限り信用してはいけません。
すべての企業にとって、詐欺メールへの対策に高度なセキュリティ技術を活用することは非常に重要です。DMARC (Domain-based Authentication Reporting and Conformance) のような安全なメールゲートウェイとメール認証による対策は、従業員と顧客を守るための最良の方法と言えます。
しかし残念なことに、会社のセキュリティ戦略がどれほど完璧でも、一部のフィッシング詐欺メールは受信トレイに届いてしまいます。そして、それらのメールは非常に危険です。米Verizon社の調査によると、標的となった受信者の30%がフィッシング詐欺メールを開き、12%がメールの悪質な添付ファイルを クリックしています。
メールのセキュリティ戦略で重要なのは、社内教育です。ここでは、フィッシング詐欺メールを見抜くための10のポイントをご紹介します。
ポイント1:表示名を信用しない
最も主流なフィッシングの手口は、メールの表示名を偽装することです。例えば、「My Bank (仮のブランド)」へのなりすましメールの場合、次のようなものになります。
My Bankが「secure.com」というドメインを所有していないとしても、メール認証のセキュリティ機能がMy Bankになりすましたこのメールをブロックすることはありません。
多くのユーザーの受信トレイやスマートフォンには表示名しか表示されないため、一度受信したメールは本物であるかのように見えてしまいます。ヘッダーに記載されているメールアドレスを必ず確認し、不審な場合はフラグを立てましょう。
ポイント2:リンクを安易にクリックしない
フィッシング詐欺は、本物のメールのコピーに悪質なリンクを組み合わせることが多いです。メール本文に埋め込まれているリンクにマウスカーソルを重ねてみてください。リンク先のURLが不自然な場合は、クリックしないでください。リンクについて気になる点があれば、社内のセキュリティチームにメールを転送してください。
ポイント3:スペルミスがないかチェックする
メールを通してプロモーションを行っている企業は、文章を厳重にチェックしています。そのため、大きなスペルミスや文法の欠陥はありません。メールを注意深く読み、怪しいと思われるものは報告するようにしましょう。
ポイント4:宛名を確認する
本文中の宛名が「大切なお客様」などと曖昧に書かれていたら、注意してください。企業から配信される本物のメールは、受信者の実際の姓名を使う場合が多いです。
ポイント5:個人情報や会社の機密情報を送らない
多くの企業は、メールを介して個人の認証情報を求めることはありません。同時に、IPアドレス外の通信を防止するためのガイドラインがあります。メールで機密情報を漏らさないように、個々人が注意しましょう。
ポイント6:緊急性の高い言葉や脅迫的な件名に注意する
緊急性や恐怖心を煽るのは、フィッシング詐欺によくある手口です。「アカウントが停止されました」と支払いを要求するか、「至急、お手続きください」と行動を促すような件名のメールには注意しましょう。
ポイント7:署名を見直す
署名者の情報や会社への連絡方法が記載されていない場合は、フィッシング詐欺である可能性が高いです。企業が配信する本物のメールには、必ず詳細な連絡先を記載されています。入念にチェックしてください。
ポイント8:添付ファイルをクリックしない
ウイルスやマルウェアを含む悪質な添付ファイルは、一般的なフィッシング詐欺の常套手段です。マルウェアは、コンピュータ内のファイルを破損させたり、パスワードを盗んだり、知らないうちにスパイ行為を行ったりする可能性があります。見知らぬメールの添付ファイルを開かないようにしましょう。
ポイント9:メールアドレスを信用しない
フィッシング詐欺では、表示名を実際のブランドに見せかけるだけでなく、ドメイン名を含むメールアドレスも本物かのように偽装します。差出人のメールアドレスが正規のアドレス (例:sendername@yourcompany.com) に見えても、なりすましである可能性があります。受信トレイに見慣れた名前のメールが入っていても、その人物からとは限りません。
ポイント10:書いてあることをすべて鵜呑みにしてはいけない
フィッシング詐欺は、その手口が非常に巧妙です。多くの悪質なメールには、説得力のあるブランドロゴや言い回し、一見本物かのように見えるメールアドレスなどが含まれています。メールの内容を見て、少しでも怪しいと思ったら、絶対に開かないようにしましょう。
ご覧になったポイントをTwitter上に #CyberAwareタグで共有して、ぜひサイバーセキュリティの会話に参加してください。もしフィッシング詐欺メールの脅威についてさらに知りたい場合は、最新のホワイトペーパーをご確認ください。