![企業向けITトータルケアサービス[beelief]](https://image.jimcdn.com/cdn-cgi/image//app/cms/storage/image/path/sf7322ba3366bc3c4/image/if0dfc69a393cd9f4/version/1548120163/image.png)
松田 幸裕 記
昨年末あたりから、社長や役員を装って「LINEグループを作成し、QRコードを送れ」という指示メールを社内の従業員に送り付ける詐欺メールが増加しています。この件については既に様々なサイトで紹介されており、本投稿で一から説明する必要もないと思いますので割愛しますが、詳しく知りたい場合は例えば以下のページなどわかりやすく説明されていますので、そちらをご覧ください。
今回の詐欺メールの多くは、gmailやhotmailなどのフリーメールアドレスから送られてきます。フリーメールアドレスから届いて、しかも業務でLINEの利用を指示するメールなんて、怪しさが満載されていますよね。そう考えると、「こんなものに騙される人がいるのか?」と思ってしまう人も多いかもしれませんが、実際に騙されている事例がいくつもあるようですね。
注意喚起をしている各サイトでは、対策として「社内でのセキュリティ教育」、「不審なメールが届いたら開かずに報告」、「送金などは正規のプロセスで実施」などが書かれていますが、、、正直「そんなこと、わかってるよ」と言いたくなる内容が多いですよね。
本投稿では、「なぜこんなものに騙されてしまうの?」、「どうすればいいの?」について、できる限り納得感のある形で深掘りしてみたいと思います。
今回の詐欺を防ぎづらい要因(システムの観点)
まずは、今回の詐欺メールを防ぎづらい要因を、システムの観点から考えたいと思います。
受信メールの検疫を行う主な仕組みとして、「メールアドレスが怪しい」、「メールの本文に記載されているリンクが怪しい」、「メールに添付されているファイルが怪しい」というような視点で見ていくと思いますが、今回のメールは「メールアドレスは単なるフリーメールアドレス」、「メールの本文に怪しいリンクは無い」、「メールに怪しいファイルは添付されていない」というものです。システムとして「このメールは怪しい」と判断することが難しいため、受信者のメールボックスにメールが届いてしまう可能性は高いと言えます。
今回の詐欺を防ぎづらい要因(業務の観点)
受信者のメールボックスにメールが届いてしまったとしても、この手のメールを怪しいと思い、反応しないようにできればよいのですが、それも難しい場合が多いようです。考えられる要因はいくつかありますが、ここでは一つ、「普段から会社の上層部を中心にシャドウITを利用している」ことについて触れたいと思います。
例えば当社では、私の名前で当社メンバーにこのようなメールが届いても、「松田がこんなシャドウITを促すメールを、しかもフリーのメールアドレスから送るはずはない」と怪しく思うはずです。これを怪しいと思わないということは、従業員が「この人だったらこのようなシャドウITを促すメールを、フリーのメールアドレスから送る可能性がある」と考えているということではないでしょうか。
10年ほど前だったと思いますが、ある大企業のIT部門の上層部の人と名刺交換をしたことを思い出しました。その人の名刺にはフリーメールアドレスが記載されていたのです。後で事情を知っている人から聞きましたが、その企業はセキュリティ対策が強固に行われていて利便性を損ねるような状態だったらしく、その反動により外部とのコミュニケーションでフリーメールアドレスを使うことが多くなり、上層部のその人は堂々と名刺にアドレスまで記載している、とのことだったと記憶しています。
利便性を損ねるほどの社内IT環境では、シャドウITを助長してしまいます。更に、上層部ほど「自分は何をやってもいいんだ」という気持ちになりやすく、シャドウITを堂々と使っている傾向があるように思えます。今回の詐欺メールは、このような傾向をうまく利用したものと言えますね。
今回の詐欺への対策(システムの観点)
上記ではシステム面での対策の困難さに触れましたが、できることはゼロではありません。ここは利用しているメールや検疫のツールによって異なるため、できることはツールによって異なりますが、それぞれのツールで何ができるのかを確認し、対策を打ちましょう。
例えばMicrosoft 365のExchange Online Protection、Defender for Office 365では、「偽装保護インテリジェンス」、「ユーザー偽装保護」という機能があります。また、フィッシングと判断するしきい値を上げるという方法もあります。これらを適切に活用することで、完全ではないですが効果があることは確認できているため、ぜひ試してみてください。(検疫を強固にすると誤検知が増える可能性もあるため、誤検知対策も同時に考える必要があります。)
今回の詐欺への対策(業務の観点)
ここでは、前述した要因についての対策を考えたいと思います。まず、社内ITの利便性を上げることが重要です。もちろん、利用者の言いなりになる必要はなく、IT部門として利便性の高いIT環境を用意していくという意識で、改善できるところは改善していきましょう。
それがある程度できているという前提で、「当社はシャドウITを許さない!」という姿勢が重要です。上層部ほど堂々とシャドウITを利用してしまう傾向はあるかもしれず、指摘しづらいとは思います。ただ、今回のようなタイミングをある意味改善のチャンスと捉え、「こういう攻撃にも強い企業でいるために、シャドウITを撲滅しましょう!」というメッセージを発信することで、何かが変わってくるかもしれません。
以上、システム的にも人的にも難しい対策ではありますが、できるところから地道に対策をしていきましょう。