No164 イマドキの不審なメールは見抜けない

「不審なメールは開かずに捨てましょう」とよく言われます。

最近のビジネスメール詐欺は「不審なメール」には程遠いキチンと
したメールが増えてきています。

今回は、最近の詐欺メールの状況についての解説をします。


1. 「不審な」メールは減ってきている

皆さんは不審なメールと聞いて、どんなイメージを持ちますか?

1)心当たりのないメールアドレスからのメール
2)日本語が明らかにおかしなメールや英語などのメール
3)よくわからない添付ファイルやURLのあるメール

いずれもありがちです。

逆に言えばこういった条件にひっかからなければ、不審だとは
思いませんよね?

1)知っているアドレスからのメール
2)違和感のない日本語
3)今までのメールのやりとりに関係しそうな添付ファイルやURL

こういったメールだと「不審なメールは開かない」といくら言って
も、開くことを防ぐのは難しいでしょう。


2. 不審でないメールなんて作れるのか?

ですが、上記の3条件を満たすようなメールなんて作れるもので
しょうか?

これが意外に簡単に作れてしまうのです。

まずメールアドレスの詐称は非常にカンタンです。
また、文面についても、最近の翻訳ソフトでは自然な日本語に
翻訳してくれますから、難しくありません。
最後に添付ファイルやURLをごまかす方法はいろいろあります。

つまり、不審と思わせないメールが簡単に作れる状況が整って
しまっているのが現在なのです。


3. メールアドレスの詐称

メールアドレスの詐称は非常にカンタンです。
これはインターネットでのメールのやり取りの手順(SMTP)が
性善説に基づいており、詐称を防止する仕組みがないためです。

もちろん、詐称を防ぐための仕組みはいくつかあるのですが、
メール送受信する双方のサーバで同じ仕組みを導入しないと
機能しないため、なかなか普及していないのが現実です。

また、そもそも知らない方からのメールを日常的に受信する部門、
つまりユーザサポート窓口や人事担当者であれば、受信したメール
を捨てるわけにはいきません。
しかも、サポート窓口などのメールアドレスはWeb上で公開されて
います。まさに「カモがネギを背負ってる」状態なわけです。

また、詐称ではないのですが、マルウェア(いわゆるウイルス。
詳細は文末参照)に侵入されてしまったPC(パソコン)で、マル
ウェアがメールの返信を勝手に送り付けるという事例が2019年に
見つかっています。
これなどは、「知っているメールアドレス」ですから、疑う余地も
なく開いてしまうことでしょう。


4. 最近の詐欺メールは件名や文面が自然

ここ数年で翻訳ソフトの質が劇的によくなりました。
これが、メール詐欺の本文の質を大幅に引き上げました。

以前は翻訳ソフトの品質が悪いためもあり、海外の犯罪者が作成
したメールは明らかに日本語が怪しかったのですが、最近はかなり
自然で、よほど気を付けないと見過ごすレベルになっています。

翻訳ソフトの質が良くなることで海外の発言を知るための敷居が
低くなる一方で、メール詐欺のグループにもその恩恵がいきわたる
点は困ったものです。


5. 「不審な添付ファイル」なんて見抜けるはずがない

「不審なファイル」を見抜くなんてことができるのは神様くらいの
ものです。

確かに気にすべきポイントはあります。
例えば「実行形式の添付ファイルは開いちゃダメ」は今も有効です。

実行形式というのはプログラム(アプリ)ですから、実行させると
なんでもできてしまいます。

そうでなくてもエクセルやワードのようなオフィス文書をはじめと
して、実行形式でないファイルにマルウェアを潜ませることはごく
普通のことです。
中には画像ファイルやPDFなど、まさかと思うようなファイル形式
のマルウェアも存在しています。

こんなのまで含めて「不審なファイル」を見抜くのは最初に書いた
ように神様でもない限り不可能です。

さらに、犯罪者側も工夫を重ねています。
・実行形式ファイルにエクセルのファイルアイコンを付ける、
・ファイル名を長くして末尾を見えなくする、
・特殊な方法で末尾をわからなくする
などなど。

いろんな方法を使ってファイル種別を誤判断するように仕向けて
きますから、頑張っても疲れるばかりで得るものがありません。

こんな時に頼りになるのは、マルウェア対策ソフト(いわゆるウイ
ルス対策ソフト。詳細は文末参照)です。
気になる場合はファイルを開く前にチェックしてください。


6. 「不審なURL」も見抜けない、だからクリックしない

最後はURLです。

メールに書かれたURLは多くの場合偽装されています。
つまり、目で見えるURLと実際のURLをわざと違うものにし、安心
感を持たせるのです。(これはHTMLメールの場合に特に顕著です)

確かによーく気を付ければ実際のURLはわかるのですが、そんなこと
に気を遣うくらいなら「メールに書かれたURLはクリックしない」
が一番確実です。

念のために書いておきますが、メールに添付されたQRコードも同様
にアクセスしちゃダメです。QRコードというのは単に英数字をバー
コードにしただけのもので、それ以上でもそれ以下でもありません。
QRコードだから安心なんてことはありません。


7. じゃあ「不審なメール」ってどうしろと?

基本的には対策はありません。

「不審なメール」を検出できると思うこと自体が幻想なんですよ。

ですから、
・不審なメールと見抜けなくても仕方がない
・正しいと信じて添付ファイルを開くのも仕方がない
・うかつにURLをクリックするのも仕方がない
といった発想への転換が必要です。

「不審なメール」が検出できない以上、それにひっかかってしまう
のは仕方がありませんし、ひっかかった人を責めたって何の足し
にもなりません。

むしろ、必要なのはそれに気づいた後の対策です。

「不審なメール」にひっかかったと気付いた時に組織の全員が
正しい行動がとれるように訓練しておく必要があるのです。


8. それぞれの立場で必要な行動をとる

コトが起きた後に必要なのは適切な初動です。
1)各メンバはスグに正確な報告を上げる
2)IT管理者はスグに経営陣に報告する
3)経営陣はスグに判断をし、対応を指示する
4)各メンバはスグに対応を行う

各メンバは、メールに騙されたと思ったときは直ちにIT管理者に
報告を上げてください。たとえ、それが詐欺メールでなく誤報で
あったとしてもかまいません。
その時には、やったことを正確に伝えてください。
実は組織ルールに反していたなど言いづらいこともあるかもしれ
ませんが、恥をしのんで正確な報告をしてください。

その報告を受けるIT管理者は、まず事実の把握に努めます。
担当者を責めたり、行動の理由を追及するのは後の仕事です。

IT管理者は報告により状況を把握した後、各部署への情報提供
と経営陣への報告を行います。経営陣への報告はこの時点では
「社内でマルウェアに感染したようだ」といった簡単なもので
十分です。

経営陣は、各部署への指示と外部の関係者(取引先など)への
報告(一時的に業務が滞る可能性があるなど)を行います。

IT管理者は行うべき作業を各部署に伝え、その結果報告を
集約します。

各部署からの報告を受けて、IT管理者で判断できないことが
起きれば、すぐにセキュリティベンダに連絡を入れて対策を
仰いでください。

と、簡単そうに書いていますが初動でこれだけの行動が取れる組織
は威張っていいです。
普通はここまでできません。

一連の動きをスムーズに行えるようにするには、防災マニュアルも
必要ですし、何よりも繰り返しの訓練を行って全員の練度を上げて
おかなければなりません。

ここまで述べてきたように「不審なメール」という漠然とした表現
では現代の詐欺メールを防ぐことはできません。
皆さんの組織でも万一の場合に備え、防災訓練の一環としてたサイ
バー対策訓練を始めてみてはいかがでしょうか。

今回は、最近の詐欺メールの状況についてのお話でした。
次回もお楽しみに。

今回登場した用語

○マルウェア
 これは英語圏での造語で、malicious-softwareを縮めてmal-ware
 (=マルウェア)と呼ぶ。
 malicious(マリシャス)は「悪意のある」とか「故意の」と
 いった意味。
 つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
 ウェアの総称を指す。
 ウイルスと何が違うんだ?と思ったアナタは正しい。
 以前は「ウイルス」が悪事を働くソフトの代表だったので、
 それが総称を兼ねていた。
 ところが、ウイルス以外にも悪さをするソフトウェア、例えば
 ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
 登場してきた。
 結果、狭義のウイルスと広義のウイルスの2つの意味にかなりの
 差が生まれてしまった。
 この両方を「ウイルス」で表記していると区別がつきにくくなる
 ため、マルウェアという言葉を「悪さをするソフトウェア」の
 総称として使いはじめた。
 2020年現在、ウイルスという言葉はマルウェアの一つの形式という
 扱いということで、専門家の間では定着したが、一般ユーザの間
 では、まだ「ウイルス」と呼ぶ人も多い。

○マルウェア対策ソフト
 ウイルス対策ソフトとか統合セキュリティソフトなどと呼ば
 れるソフトウェアのこと。マルウェアに限らず、外部の脅威から
 PCを守ることを目的としたソフト。多くの場合、マルウェア
 対策のみの製品、怪しげなサイト(フィッシングサイトなど)
 へのアクセス制御を加えた製品、といった複数の製品をライン
 アップしている。

この記事が気に入ったらサポートをしてみませんか?