たぷるとぽちっと|ITに関するお役立ち情報サイト > 知人から怪しいメールが届いたら ~ 二次被害を防ぐ対処法 ~
ITお役立ち情報
2016/06/01

知人から怪しいメールが届いたら ~ 二次被害を防ぐ対処法 ~

たぷるとぽちっと|ITに関するお役立ち情報サイト

疎遠だった知人からメールやSNSでメッセージを受け取ったことはありませんか?

懐かしさのあまりクリックして中身を見てしまう、といったことは誰にでもあると思います。

 

しかし、そこには「なりすまし?」や「乗っ取り?」といった罠が仕掛けられているかもしれません。信用して無闇にメールやメッセージを開かずに、まずは送信者へ確認をしてください。

 

あなたが新たな感染源にならないためのアドバイスをまとめました。

 

 

情報漏えいの二次被害とは?

情報漏えいには一次被害と二次被害の2種類があります。

ウィルス感染したあなたのスマートフォンやPCから、個人情報やクレジットカード情報、会員サイトのID・パスワードなどが抜き取られたり、保存されている写真データが勝手に掲示板にアップされたり、メール送信されたりしてしまうといった直接的な被害が一次被害です。

 

抜き取られたクレジットカード情報を不正使用されて、身に覚えのない請求がきたり、あなたのスマートフォンやPCが踏み台となって、アドレス帳に登録されている人宛てにウィルスメールが勝手に送られてしまうことで、あなた以外の人たちへ感染拡大したりするなど、一次被害にとどまらずさらなる被害が拡大すること。これが二次被害です。

 

 

個人だけの話ではありません。

ビジネスメールに見せかけたタイトルや内容で読み手を安心させ、返信メールや偽webサイトへの誘導などにより情報を搾取する手口があります。

 

例えば、参加したことのないセミナー主催会社から届いた無料参加告知メール。

以前、参加した別のセミナーの関連会社かもしれないと参加申し込みをしたところ、あなたの個人情報が不正取得されたり、登録されている連絡先に手当たり次第に同じメールが送信されたり・・・といったケースです。

 

 

LINEアカウント乗っ取り事件

2014年5月頃から多くの被害を出したLINEアカウント乗っ取り事件は、みなさんも記憶に新しいと思います。

全国で約3,700件の被害届や被害相談があり、被害金額は約1億1,340万円にのぼったとされています。

→出典:http://daily-news.jp/2014/12/21/line-hacking-scam/

 

悪意を持った人が不正に入手したLINEアカウント(ログインID、パスワード)を用いて不正ログインを行い、登録されている「ともだち」になりすまし、「もし良ければ、ウェブマネーのプリペイドカードを買ってきてくれませんか?」といったメッセージを送る犯行手口で、Web版の「おれおれ詐欺」とも言えます。

 

直接、会話をせずに名前とメッセージのみでしか判断ができないLINEユーザーは、善意でプリペイドカード購入を手伝い、換金用のプリペイド番号を写真に撮り送信してしまうのです。

 

このアカウント乗っ取り事件は、一般人だけでなく芸能人などにも波及し、一気に認知されるようになりました。

 

LINEを業務連絡や情報共有のために使用している企業で部下のアカウントが乗っ取られ、上司に対してまるで「ともだち」のようにプリペイドカード購入を依頼するメッセージが送られてびっくりしたという例もあります。

 

 

防ぐ手立てはあるか?

気の許せる友人からメッセージが届いても、なんの疑いも持たずにURLをクリックしてしまうことはしないでください。まず最初に、「URLはクリックせずに本人に確認を取る」ことを心がけてください。単純なことですがこれが被害を回避するための一番の予防方法です。

 

 

企業はどのように対策をする?

多くの企業では、リスク管理部門や情報システム部門などがルールを定めたり具体的なセキュリティ対策を施しているため、大事にはならないと思っていませんか? そんなことはありません。

 

企業のセキュリティを突破するスパイウェアや、巧妙に偽装したスパムメールなどは後を絶ちません。

 

また、スマートフォンやタブレットなどを用いて会社PCとの同期処理をできるようにしたり、個人用のスマートフォンやPCなどを用いた自宅や外出先などでの仕事を認めたりする場合、企業内のPC利用環境などと同様の、しっかりとしたセキュリティシステムでガードできるわけではありません。個人利用の自由度や利便性追求などの要素が少なからず入ってきますので、ヒューマンエラーや企業内ネットワーク下では想定できなかったようなリスクが増大します。 

 

ニュースで多く情報漏えいの事件が報道されていることを対岸の火事と思わず、これらを参考に自分自身でできることから行動を変えていくことをお奨めします。

まずは、以下3つから始められてはいかがでしょうか。

 

会社のセキュリティを過信しない。
送り主が不明のメールは開封せず完全に削除する。
仕事で使うファイルを自宅PCや社外使用のモバイル機器中に保存する場合は必ず暗号化する。

 

 

一方、企業はセキュリティを潜り抜けてきたこれら脅威をいち早く察知しタイムリーな対策を行うために、「怒られるから報告をやめておこう」「自分が報告しなくても、まあいいか」などとならないよう、社員がエスカレーションしやすい仕組や風土を作り、対策を繰り返し啓蒙することで継続的に機能させることが重要です。

 

啓蒙活動例として、月に一度全社員向けに注意喚起やヒヤリハット事例紹介などをメール配信したり、オフィスの一角にセキュリティ対策方法を示したポスターを貼ったりするなどが有効です。

 

また、万が一ウィルスに「感染」してしまった際の行動指標も認知してもらうようにしましょう。

座学だけでなく、防災訓練や消火訓練などと同様に、発生シナリオごとの対処方法を繰り返し訓練したり、対象者を決め模擬的なウィルスメールを抜き打ち送信することで対処方法の正否を判定し間違った人に再教育を実施したりすることも重要です。

 

企業が一丸となって「メールの安易なクリックは感染の恐れあり!」という認識を強く持って、セキュリティの意識を高めていただければと思います。

 

※記載されている会社名および製品名は、各社の商標または登録商標です。