新人必見！ 知ってる人もあらためておさらい！ 情報セキュリティについて知っておきたいこと（その3）：ハギーのデジタル道しるべ（1/2 ページ）

企業や組織に所属するようになった人は、あらためて自分のセキュリティ意識が間違っていないか、確認をしてもらいたい。個人レベルでも、ちゃんと備えておかなくてはいけないことがいろいろある。

[萩原栄幸，ITmedia]

　日常生活の中にも、情報セキュリティ上気を付けなくてはいけないこと、注意すべきことはたくさんある。普段何気なくしている行動が、情報漏えいにつながることもあるのだ。特に社会人になりたての人は、この記事を読んで、あらためて自分の行動を振り返ってみてほしい。

　前回は、プライベートではそれほど悪くないことでも、企業内ではリスクになり得るというケースを紹介したが、今回はサイバー攻撃やネット上の詐欺行為などに対する心構えをお伝えしたい。

10．怪しいメールはすぐ分かる　怪しくないメールに注意が必要

　筆者は、メールをきっかけにして攻撃を受けたり、情報漏えい事故に至ったたりした企業をいくつか知っている。そして有料セミナーでは、6年ほど前から「怪しいメールより怪しくないメールが怖い」と解説している。

　世間ではいわゆる「怪しいメール」を発見する方法が、多くのサイトで解説されている。IPA（情報処理推進機構）は、「標的型攻撃メールの例とみわけ方」という資料も用意しており、企業もこれらの情報を基に防衛策を講じている。

　これらは、基本的な学習という面ではとても良い教材だ。しかし、よく考えていただきたい。実際に攻撃をし、これで多額の金銭を搾取する側の立場で考えてみると、こういうところで解説されている（ネタバレされている）方法は回避するだろう。本物の怪しいメールは、その見分け方がとても難しい。いや、正直にお伝えするなら、通常の感覚では、見分けるのは無理だろう。

　実際の攻撃メールは、友人のアドレスを偽称し、本文も友人が書いたかのような文章になっている。企業間のメールでも同じである。先週会議があったのを知っており、その議事録のWordファイルになりすまして送付されて来るのだ。よって、常にミスを犯す可能性のある人間が、日進月歩で進化している、本物そっくりの攻撃メールを見分けることは極めて困難なのである。

　ちょっと前なら文章がおかしかったり、単語の途中にピリオドが入っていたり、中国語にしか利用されない漢字が混じっていたりしていたものだが、今やそういうメールは一部の「万が一だませれば大もうけ」程度の意識の団体や、真の攻撃メールを発見されにくくするためのおとりメールでしかない。そんなメールの９割はアダルトメールなのですぐに分かる。

　セキュリティ担当者などが、「怪しいメールは開かないように――」というからこそ、人は来たメールがあやしいかどうかを判断してしまう。なので筆者は、そうではなく「これから開封し、添付ファイルやリンク先を利用するメールのすべて」に対して「細心の注意をはらい、内容を確認し、電話やSNS、LINEなどで真偽を確認できるなら、きちんと確認してから開いてほしい」と伝えている。

　中には、不審なメールを開封して、万一被害に遭ってしまった場合には、減給や降格などのペナルティを課す場合もある、と就業規則を変更している会社もある。こんな会社では、「メールは開かないか部下に確認を依頼する」なんていうことをしている人もいる。しかしそこまでするのもどうかと思う。

　最新のセキュリティシステムには、メールサーバやクラウド上にサンドボックスなどの機能を持たせ、実際に添付ファイルを開いて挙動を確認した上で、宛先に届けているものもある（もちろんさらにAIの裏をかき、サンドボックスではおとなしくふるまって、宛先の人が実際に内容を確認するまでは動かないようになっている場合もあるのだが）。

　以前はメールのサムネイルを見ただけでも感染するケースがあったが、今はもうそういうことはまずないので、実際にはメール自体は開き、内容を確認して、リンク先はまずツールでその安全性を確認し、変なサイトに飛ばされることがない様にするのがいい。添付ファイルがあったら、事前に差出人に連絡して、確認後に開封することを勧めたい。どうしても不安なら、IT部門に安全性の確認を依頼すればいいだろう。その事で罰せられることはない。