IT関連のセキュリティまで手が回らない事業者
セキュリティを社内に周知したい経営者
051実録!迷惑メールのURLを開いたらどうなる?中小企業・個人事業主が今すぐできる対処法(初心者向け)[セキュリティ対策シリーズ⑤]
クレジットカード会社やレンタルサーバー会社、銀行などを装った迷惑(なりすまし)メールがよく来る、ということはありませんか?
また、ニュースなどでよく見聞きするけど、『自分は大丈夫』と思っていませんか?
私も迷惑メールが来ることはありますが、迷惑メールのURLは開いたことがありません。(開きそうになったことはありましたが、一旦冷静になり、来るはずのないメールアドレスで受信したので開かず、未然に防げました。)
『迷惑メールからURLを開いた』という個人事業主の方にお話を伺い、実際どんなものだったかプリントアウトしたものを見せてもらったので、実態と対策について書いておきます。
危険は『意識すること』で防げることがあります。
その方はフリーメールアドレス(独自ドメインではないもの)を複数持っていて、その中の1つに次のような迷惑メールが届いていました。迷惑メールが届くメールアドレスは何かのアカウント登録に使っている、とのことです。
今回のケースはこのような時系列
- ①迷惑(なりすまし)メールが届く
こういう類の迷惑(なりすまし)メールは『見たことある!』という方もいらっしゃるのではないでしょうか。
緊急性を謳って行動を促すような文章で、ログインをクリック(タップ)させるタイプです。
- ②ログインに進んだ
ログイン画面(偽物)に進んだけど、なんか異変に気づき、IDやパスワードは入力してない
結果的には、偽物のログイン画面でID、パスワードを入力しなかったので未然に防げたようです。後日クレジットカードの明細を確認しても不審な決済はなかったとのことでした。
これは偽物のログイン画面です。本物のカード会社のログイン画面と照合したところ『激似』です。パッと見ではどっちが本物でどっちが偽物か分かりません。構成も色味も似ていて既知感もあります。
先述の通り、私は初めて偽物のログイン画面を見ましたが、特に「このカードを使っている人」はそのままログインしてしまう人もいるな...という印象を受けました。
これは、カード会社を装ったなりすましメールからURLを開いてログインさせるフィッシング詐欺の王道です。
偽物だと知った上で、パソコンでアクセスしてみました。※ ちなみに、私のパソコンはMacで、OSは常に最新にしてあり、ファイアウォールは動作中になっていて、セキュリティソフトを入れて使用しています。偽物のログイン画面にアクセスしようとしたらちゃんとセキュリティソフトが警告を出してくれました。
※偽物と思われるものはマルウェア(ウィルス)に感染する場合もあるのでアクセスすることはお勧めしません。
カード会社からの本物のメールには『親愛なるお客様』での書き出しではなく、フルネームが入っていることが多い(宣伝のDMを除く)
メールが偽物か本物か見分けるチェックポイントがいくつかあるのでご紹介します。パソコンやタブレット、スマホを使える方なら誰でもできます。
- [差出人の確認]差出人に記載してある名称と差出人のメールアドレスを照合する。この時点で名前は知っている人や取引先、利用しているサービスであっても、@以降がぐちゃぐちゃなもの(例えば、aaa@ak◯hd◯tf.comなど。)は偽物と思った方がよいので、緊急性の高い内容だとしてもURLのクリック(タップ)はしない
今回のメールも差出人に記載してあるものとメアドは全く関係ないものです。 - そもそも、自社(自分)がそのカードやサービスを使っているのかを確認する(使っていなければ「迷惑メール」の可能性が高い) 次に、万が一URLをクリック(タップ)してしまったら、
- まず、URLを確認する(明らかにおかしいと感じたらログインしない。Google検索などで公式のログイン画面に辿り着き、URLを確認し、メールのURLから開いたものと照合する。ログイン画面はパッと見同じだとしても、URLが異なる場合は絶対にログインしない)
ひとまず、これで不正なカード利用は防げるでしょう。
メール本文内のURLを開く前に、まず差出人を確認するという作業を、事業所内で徹底することは、セキュリティ向上の第一歩となります。
結論
迷惑メールは日々進化していますが、ITに苦手意識があってもパソコンやスマホ、タブレットを使える人なら誰でも簡単にできるセキュリティ対策があります。まず、第一歩としてメールを読む前に差出人とメールアドレスの一致の確認を習慣化することを推奨します。 もし、フィッシングメールなどで何かお困りごとがありましたら、無料でご相談を承っておりますので、お気軽にお問い合わせください。
