NEWS お知らせ / お役立ち情報

怪しいメールに騙されない!セキュリティ教育の取り組み
弊社では、情報セキュリティ事故を未然に防ぐべく、一人ひとりのセキュリティに対する意識やリテラシーの向上を目的として「セキュリティ教育」を定期的に実施しています。
例えば、フィッシングメールを見分ける能力を身につけるため、メンバーに対して、訓練用のメールを定期的に送信しています。最近では、2024年12月に訓練を実施し、その結果を先日行われた全体ミーティングの場で共有しました。今回は、その内容をご紹介します。
以下は今回の訓練で使用したメールの例とポイントです。
①件名で対応を急かす表現をしている。
②送信元の差出人の名前は実在するものが使用されているが、メールアドレスは実在しないものが使用されている。
③会社名が正式名称(株式会社JCA)ではない。
④担当者の名前が記載されていない。
⑤急な連絡に対して短い期限を設定し、対応を急かしている。
⑥署名がなく、送信者の情報が書かれていない。
11、12月に実施された健康診断と関連があるように装い、受信者が焦った状況ではリンクを押下してしまう可能性がある構成となっていました。
今回の訓練では、これまで定期的に実施してきたセキュリティ教育の効果もあり、リンクを押下したメンバーは一人もいませんでした。また、訓練後にアンケートを実施し、メールが届いた際に確認した点や取った行動について調査したところ、以下のような声が挙がりました。
・件名や本文だけでなく、送信元のアドレスやリンクの内容まで確認した。
・差出人の名前をWeb検索して正当性を確認した。
・他のメンバーがリンクを押下しないよう、チーム内で注意喚起を行った。
前回の訓練では、メールの内容に違和感を覚えたメンバーが全体に注意喚起を行ったことで、当初の予定よりも早期に訓練が終了しました。一方、今回の訓練では、前回の経験が影響したのか、身近なメンバーに声掛けを行ったメンバーは複数名いたものの、全体周知を行ったメンバーはいませんでした。今回の訓練結果から、一人ひとりのセキュリティ意識や知識が着実に定着してきていることが確認できましたが、実際に標的型攻撃メールが届いた場合を想定すると、全体に周知し、迅速に情報共有を行うことが望ましい行動と言えます。
また、今回の訓練では、一部のメンバーがMicrosoftのセキュリティ機能によってメールがブロックされていたことも確認されました。このようにシステムによる防御が機能している場合でも、怪しいメールを完全に排除することはできません。実際、セキュリティ対策を講じている企業であっても、巧妙な攻撃により被害を受けるケースが報告されています。
以下は、怪しいメールが届いた際に、確認するポイントをまとめたポスターです。これだけで全てのリスクを防げるわけではありませんが、特に初心者の方にも分かりやすいよう、注意しておきたいポイントを整理しました。いつでも誰でも確認できるよう目立つ場所に掲示してご活用ください。
そのメール、大丈夫ですか?怪しいメールを見抜く3つのポイント!
また、今回ご紹介したようなセキュリティ訓練にご興味がある方は、ぜひ「オンライン無料相談」よりお気軽にお問い合わせください。ITに関する素朴な疑問や悩み事をどこに相談して良いか分からない福岡の中小企業・小規模事業者様にとって、私たちが第一の相談相手になります。