従業員のセキュリティ意識について
先日、アサヒグループホールディングスの件を取り上げました。
実行したグループから声明が出されましたが、具体的にどのような手法で対応したのかは
明確にはなっておりません。
防ぐ方法は前述コラムに記載いたしましたが、ここ最近は本物に見せかけたメールやSNS、SMSなどで
不正に情報を取得し、正規の手段でログインして情報を盗むということが多くなったように感じます。
実際、ここ数か月は弊社アカウントにも迷惑メールが届くようになりました。
個人のほうは昔から程よく届いていますが、企業アカウントに届くようになったのは情報取得して
正規の手段で入ることを想定しているように思えます。
さてこうなってしまうとセキュリティ対策しようが、ネットワークを強化しようが無意味です。
正規の手段で入られたものを弾く手段はありません。
そのため、その情報を取られないようにするという意味合いで皆さん一人一人がより気を付ける
必要があります。
改めてその部分について注意点を記載し、被害にあう方を減らせればと思います。
〇(できればやってほしい)メッセージフィルタ
下記、確認をする前に可能であれば、メッセージフィルタの設定をすることをオススメします。
各携帯会社やプロバイダなどでフィルタリングサービスを提供しています。
基本的には無料で用意しているところが多いので、確認の上、設定してみてください。
これをすることにより、手元に届く数を大きく減らすことができます。
設定の仕方は各社によって異なりますので、ご自身の合う方法で設定ください。
メッセージフィルタを通しても抜けてくるものもあるため、以下その場合の確認手法記載します。
1.メール本文
本文内で見抜くのはかなり難しいです。
日本語がおかしいものはわかりやすいですが、それ以外はポイントが、入金がとかお金に関するもので、
早急に対応しないと問題になりますよっていう表記は基本怪しいと思ってください。
また、仮に問題なさそうであってもメール内のURLからはアクセスせず、
普段登録しているお気に入りなどから確認するようにしてください。
2.ドメイン情報確認
ドメインは以下の箇所のことを指します。サブドメインというものもありますが、メインのものに紐づく形です。
(ユーザー名)@ドメイン名.co.jp
弊社でいうと「marespera」がそれにあたります。
基本的にはこのドメイン名が違うことがほとんどですので、これを見ればかなり回避できます。
なお、件名や日本語の送信者名、ユーザー名などは偽装できますので、そこではなくドメイン自体を見ることが重要です。
大抵のwebサービスにはこのドメインから送付してますと記載がありますので、そちらも合わせて確認をするようにしてください。
ユーザー名のところにドメイン名の記載をして本物のように見せるやり方もありますが、本物はユーザー名に記載しませんので、
ご注意ください。
なお、誰かの不注意で正規のアカウントが盗まれてしまい、なりすましのような感じで詐欺URLに誘導する場合もあります。
その場合は内容見て、普段やりとりする人と感じが違うかどうかの判断しかできないので、直接連絡がとれるならば
別方法で確認をオススメいたします。
いまだにこのようなものが減らないのはコストとリターンで考えてもリターンが大きいからということになります。
知識を付け騙される人が減れば、リターンが見合わないとなり減っていくと思われます。
いつ自分が狙われるかわかりませんので、知識のアップデートできるようにアンテナを張ってもらえればと思います。
このコラムはそのきっかけになればと思います。
