標的型メールは見抜くことが難しい。は誤りです

「標的型メールに気をつけよう」って、一体、何に気を付ければいいのよっ!

[セキュリティ教育]

困惑

先日、年配の経営者と思われる女性が、部下と思われる女性とこんな話をしていました。

「なんかまた、(よその会社が標的型メールに)やられちゃったみたいねぇ」

「そうみたいですねぇ」

「私も変なメールには気を付けてるんだけどさあ、こんなのいちいち見分けてられないのよねえ。いかにも怪しいメールっていうの?そういうのは一応見てるんだけど、なにせ海外から沢山メールが来るからさあ、どれが開けちゃいけないメールかなんて、いちいち見分けてられないのよね」

さて、これを読まれた方の中には、「そうそう、ウチもそうなんだよな」と思われた方もいらっしゃるのでは?と思います。

日本国内の取引先としかメールのやり取りをしない方であれば、海外からのメールや、妙な日本語の使い方がされているメールが送られて来れば、すぐに不審なメールだと気づきやすいですが、海外を相手に仕事をされている方であれば、日本語の言い回しが不自然だからといって、それが全て不審なメールか?というと、そうではないというケースも多いかと思います。

毎日何百通とメールを受信している方からすれば、1通のメールにそうそう時間をかけていられるはずもなく、怪しいメールかどうかを、メール本文を見ていちいち判断するなんて無理!と思ってしまうのも無理からぬことかと思います。

「標的型メールに気をつけてください」と言うのは簡単ですが、そうは言ったって、一体、何に気を付ければいいのよっ!と思うのは、冒頭の女性ばかりではないでしょう。

適切な見分け方を教えずに「気をつけよう」と言っても無意味

あたりまえのことですが、具体的に何に気を付ければよいのか?を教えることなく、ただやみくもに「危ないから気を付けよう」と言ったところで、言われた方は何をすればよいのかさっぱりわからないものです。

なので、怪しいメールを不用意に開封しないようにするための対策として、

・メールアドレスがおかしかったり、文章がおかしいなどの部分を探す
・添付ファイルがexeファイルでないかどうかを確認
・見慣れないURLでないかどうかを確認

といったことが言われるわけですが、よくあるのは、こうした見分け方をただ並べ立てて、気を付けて欲しいポイントはこれだけあるから、みんな気をつけてね。と言うやり方です。

何も教えないで「気を付けてね」とだけ言うよりはマシですが、あれこれ並べ立てて気をつけろと言われても、セキュリティに疎い初心者からすれば、そうしたポイントの全てをいきなり覚えられるはずもなく、

なんか色々あって面倒 ⇒ 私にはそんなの無理!

と、半ば投げやりになってしまう人が出てきてもおかしくはありません。
実際、

「標的型メールを見分けるなんて無理」とか、
「標的型メールを従業員に見分けさせるなんて無謀」

といった意見は、昔から少なからずあり、だからシステムで防御すべき。と主張するシステムベンダーや専門家も存在します。

では、標的型メールかどうかを見分けるのは本当に難しいのか?というと、決してそんなことはありません。

メールアドレスや本文、添付ファイルなどを総合的に見ないと、標的型メールかどうかを判断できないのか?というと、決してそんなことはなく、見るべきポイントに優先順位を付けて見るようにすれば、標的型メールかどうかを見分けることは簡単にできます。

きちんと整理して教えればわかりやすいことなのに、整理して教えないから、教わる方も混乱してしまい、結局、何に気を付ければよいのか分からないままになってしまう。

折角、標的型メールについて教える機会があっても、これでは折角の機会が活かしきれず、勿体ないと言わざるを得ません。

どうしたら被害に遭うのか?これを教える事が肝心です

ランサムウェアや、マルウェアによる情報漏洩など、私たちに被害をもたらすもののパターンは幾つもありますが、共通して言えることは、私たちに被害がもたらされるのは、私たちのコンピュータ上で、何らかのプログラムが実行されることによってです。

コンピュータは何も実行されなければただの箱です。電源の入っていないパソコンから情報が漏れるなんてことはありません。

これはすなわち、犯罪者は、ターゲットとする相手のコンピュータ上で、自分たちが作ったプログラムを実行することができなければ何もできない。ということです。

ということは、犯罪者はどうやって、私たちのコンピュータ上で、彼らが作ったプログラムを動かそうとするのか?

その手口を知り、その手口にまんまとはまってしまわないようにしさえすれば、被害に遭うのを防ぐことができます。

そして、その手口は実のところ、以下の2つしかありません。

1.あなたにプログラムを実行させる。
2.コンピュータの脆弱性を突いてプログラムを送り込み、実行させる。

このうち、2.はシステム担当者が主担当として気を付けるべきことなので、一般の従業員が気を付けるべきは1.だけです。

標的型メールの種類やパターンは無数にあれど、結局のところ、私たちは、犯罪者が作ったプログラムを実行してしまう。なんていうことが無いよう注意すればそれでよいのです。

例えば、拡張子が.exeの添付ファイルは絶対に開かない。というのは、その方法の一つです。

添付ファイルの拡張子が.exeだったら無条件で開かない。こうすれば、いちいち目を皿のようにしてメールアドレスや本文を見て、怪しいメールかどうかを考えるなんて必要はありません。

本当に抑えるべきポイントを教え、そこに着目して気を付けるようにする。

ちょっと手口を変えただけの標的型メールにまんまと騙されてしまったり、標的型メール訓練を何度もやっているのに、被害に遭ってしまう。なんていうことが起きるのは、こうした本質を教えていないからです。

標的型メールを見分けることは決して難しくありません。難しくしているのは、教える側の教え方の問題だったりするのです。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!