幼い頃、家族で行った海釣りでフグに噛まれて大泣きした記憶がある。
フグと言えば毒という知識だけがあったため、これでおれは死ぬ、短い人生だった、と思い込んで泣いていたのだが、両親は笑いながら「痛くない痛くない!」と慰めてくれていた。
子供ながらに、「いやそうじゃなくて、、、、というか何わろとんねん」 と思ったことをよく覚えている。
ということで(?)、今回は釣り、、、じゃなくてフィッシングメールの話である。
ここ1ヶ月くらいだろうか、フィッシングメールが大きな進歩を見せている。
もはや進化と言ってもいい。
少し前までのフィッシングメールといえば、差出人はフリーメールだし、件名や本文には日本語だかなんだか分からない言葉が並んで意味不明。
見るからに怪しい、、、全てが怪しい、というような存在だった。
ところがここ最近のフィッシングメールは大きく改善(改悪?)されており、一目では分からないことが多い。
日本語の「てにおは」が完璧で、件名や本文も日本のビジネスメールマナーに則っており、実在するカード会社やサービス名を騙っている。もはや普通のメールよりも普通、完璧すぎて美しいメイド・イン・ジャパン、といった様相を呈している。
もし、そのカード会社やサービスを実際に使用している人が受信したら、何気なく開いてしまう可能性は高い。
さらには、不正リンクのURLを微妙に変えるなどの工夫も施されており、せっかくメールシステムで導入しているフィルタリングをすり抜けるケースが後を絶たない。
よしよし、情シスの腕の見せ所・・・といきたいところだ。
ここで当社における、現状のフィッシングメールとフィルタリングの戦況を整理する。
・敵は大手セキュリティベンダーのフィルタリングを、まずは易々と突破してくる
・数分後にはブロックされるようになるが、またすぐに新手が突破してくる
・現状では敵の方が一枚上手であり、この状況はしばらく続きそうに思われる
・正直、これ以上システム的な対策を追加しても大きな効果は期待しづらい
このような戦況を分析すると、しばらくは受信者(当社社員)の手元に精巧なフィッシングメールが届き続けることが予想される。システムエンジニアのプライドにかけてもしっかりブロックして欲しいものだが、なかなかそうもいかないらしい。
が、そもそもフィッシングメールは受信されただけでは何も起こらない。
受信者が不用意にリンクや添付ファイルをクリックして始めて被害が発生するものだ。
システムでの追加対応は時間もコストもかかる。
であれば、まずは比重を受信者に対する教育や迅速な情報提供に置くべきだろう。
今回はスピード勝負である。 対策は早ければ早いほどいい。
ということで、早速以下を実施することにした。
・標的型攻撃メール対応訓練の対象者を全社員に拡大
・社内SNSを利用した社員間での情報共有
社内SNSを利用した情報共有は、まだ試験運用のような段階だが、我々が判断する際もWeb上の情報を探すことを考えると、非常に有用ではないかと考えている。
Twitterやインスタでの発言があっという間に炎上することからも明らかなように、SNSの情報拡散速度は抜群である。通知機能と組み合わせることでさらに効果は上がりそうだ。
一つ問題は、セキュリティリテラシーが低めでフィッシングされそうな人たちほど、SNSに慣れておらず、せっかくの情報があまり見てもらえない恐れがある点だろうか・・・。
