後輩社員のサイバーセキュリティ意識がヤバい件

今回は、いつものCoDでもeスポーツでも、discord py でもないです。

ただ、会社でやばい場面に遭遇したときのお話です。
特に含意もなければ、コメントもない、

普通の会話感覚で書いていきます。

ことの発端はメールが来たことです。
↓はおおまかな再現です。このメールには、圧縮ファイルが添付されています。

---

【重要】セキュリティソフト　アップデートについて

管理部　<mjjkaieda@hduahudae.jp>
To. (～私のメールアドレス～)

各位

社内にて、最近ウイルスに感染する事例が多数報告されています。
そのため、各自でパソコンのセキュリティソフトのアップデートを行って頂く必要があります。
このメール添付のファイルをダウンロードしていただき、解凍後、プログラムを実行することで、セキュリティソフトをアップデートできます。

今週末までに各自行うよう、宜しくお願いいたします。

---

さて、このメールですが、社内で利用しているメールに入ってきていました。

皆さん、おかしな点はおわかりですよね？

そう、教科書通りの迷惑メール。
そして、メールのところでは表現ができなくて省略しましたが、圧縮ファイルをダウンロードしてはいけません。

このメールが来た際、タイトルとしても優先順位は低いとして、メールが来ていたことは認識していただけで、無視していました。
時間が空いた２時間後にメール文を読んだ際、明らかに迷惑メールの類だったため、まず自分だけメールが来ているのかを確認するため、私が見ている後輩社員２人に聞いてみました。

そうすると、その２人のところにも全く同じ内容で来ていました。

そして、すかさずメールの添付ファイルをダウンロードしていないか確認したところ、２人ともダウンロードしてファイルを実行したと言います。

思わず、

「典型的な迷惑メールやんけ！マジかよ！」

と言ってしました。

そして、後輩社員に”管理部”にメールの件を確認させました。まあ、迷惑メールだという裏が取れたという話です。

その管理部の反応などを見ると、実は”訓練”としてやったと思われます。
ネタ明かしされたわけでもないため、憶測ですが、

普通は、そういう迷惑メールの送り手にメールアドレス情報などが漏れていることやパソコン侵入からそのパソコンへの被害、繋がっているサーバーなど他のところへの影響などシステム部門に対応を仰ぐ展開になるはずが、それがなかったためです。

ただ、もうサイバーセキュリティ、情報セキュリティなんて入社したタイミングで絶対に言われる話で、実際引っかかった後輩社員２人は１年目と２年目です。

見抜けないのかとガックリしたものです。

一応、出した以上は答え合わせをすると、

---

送り主の”管理部”は確かに、所属している支店内に存在しています。
ただ、部署共通のメールアドレスがまず存在しません。

メールアドレスが明らかに、会社のものではない。

個々人向けではなく、社員共通の内容のメールであるため、Toで送ることの違和感がある。普通は全員をToにいれるか、CCで展開する。
BCCは内容的に意味がない。

”セキュリティソフト”とは言っているが、具体名が出てこない。

ソフトのアップデートは、管理部ではなく、本社直属のシステム部門が担当し、そこから情報発信される。

その中で、ソフトのアップデートは社内サーバーにアップデートファイルを上げ、各自ダウンロードする形をとっている。そのため、添付ファイルで送られることがない

(記載していないが)添付の圧縮ファイルの名前が適当

署名がない

---

まあ、いっぱいありますね笑

もちろん、会社特有の要因があるものの、それこそ教科書的な不信点が多いメール。

これは開かんやろ。

と思った私があほだった。

まさかダウンロードして開いてしまうとは、

実戦は大事だと、つくづく思わされました。
それとも、メールというツール自体が入社１・２年目の若者にとっては古いものなんでしょうか。

確かに、もう私も30になりますが、

学生のころは、色んなサイトに登録したせいで携帯メールとかに変にいかがわしいメール、出会系のメールが大量にくるようになって、メールアドレスを変えるとかやってましたが。

そういう中で、意外と迷惑メールの見分けがつくようになったんですかね。

今でも、放置気味のYahooメールの方には、
過払い金が帰ってきます　や　(見たことない)サイトの会費の未払い請求のメールがきていますが。

これをジェネレーションギャップで済ましていいわけではないですが、
意外とこの辺の感覚の違いって適度に理解しないといけないなあと思いました。