0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@btncon

フィッシングメールの見分け方と社員教育の進め方

0
Posted at

はじめに

IPA「情報セキュリティ10大脅威」でも毎年上位にランクインするフィッシング攻撃。技術的な対策だけでは完全に防ぐことができず、最終的には「社員が見分けられるかどうか」が被害の分かれ目になります。

本記事では、フィッシングメールの具体的な見分け方と、形骸化しない社員教育の進め方を解説します。

フィッシングメールの5つの特徴

1. 送信元アドレスが微妙に違う

正規の送信元に似せたアドレスが使われます。「microsoft-support.com」「googIe.com(Iが大文字のi)」「amazon-security.co.jp」など、一見すると本物に見えるが実際は偽物です。

見分けるコツ:メールヘッダーの「From」だけでなく、実際の送信元ドメインを確認します。Outlookでは送信者名をクリックすると実際のアドレスが表示されます。

2. 「至急」「アカウント停止」等の緊急性を煽る

「24時間以内に対応しないとアカウントが停止されます」「不正アクセスを検知しました。今すぐパスワードを変更してください」など、受信者に考える時間を与えない内容です。

見分けるコツ:正規のサービスが「24時間以内に対応しないとアカウント停止」と通知することはほぼありません。冷静になって公式サイトから直接ログインして確認しましょう。

3. URLのドメインが正規サイトと異なる

メール本文のリンク先URLが正規サイトのドメインと異なります。「login.microsoftonline.com」のはずが「login-microsoftonline.security-update.com」になっている、といったケースです。

見分けるコツ:リンクにカーソルを合わせる(クリックしない)と、ブラウザの左下にURLが表示されます。ドメイン部分(最初の「/」の前)が正規のものかを確認します。

4. 不自然な日本語

機械翻訳を使ったフィッシングメールには不自然な日本語が含まれます。「あなたのアカウントは異常な活動が検出されました」「安全のためにあなたの情報を確認してください」など。

ただし、近年はAIを活用した自然な日本語のフィッシングメールも増えているため、日本語の自然さだけで判断するのは危険です。

5. 添付ファイルの実行を求める

「請求書を確認してください」「配送状況はこちらから」と、添付ファイル(.zip、.exe、マクロ付きのExcel等)を開かせようとします。

見分けるコツ:身に覚えのない添付ファイルは開かない。取引先からのメールでも、いつもと異なるフォーマットの場合は電話で確認しましょう。

社員教育の4ステップ

Step 1:基本研修(年1回)

フィッシングの手口、見分け方、不審メールを受信した際の報告方法を全社員に教育します。IPAが無料公開している教材や動画を活用すれば、外部講師を呼ばなくても実施可能です。

研修のポイントは、「こうすると危ない」という一般論ではなく、実際のフィッシングメールのスクリーンショットを見せて「ここがおかしい」と具体的に指摘することです。可能であれば、同業種で発生した実際のインシデント事例を紹介すると、当事者意識が高まります。

Step 2:フィッシング訓練(四半期に1回)

模擬フィッシングメールを全社員に送信し、クリック率を測定します。Microsoft 365 Business PremiumにはDefender for Office 365の攻撃シミュレーション機能が含まれており、追加費用なしで訓練を実施できます。

訓練のポイントは、「引っかかった社員を罰する」のではなく「訓練の結果を全社で共有し、次に活かす」ことです。クリック率の推移をグラフ化して経営層に報告すると、セキュリティ教育の効果を定量的に示せます。

Step 3:個別フォロー

訓練でフィッシングリンクをクリックした社員に対して、個別の追加教育を実施します。「あなたが間違えた」と責めるのではなく、「このメールのどこが怪しかったか、一緒に確認しましょう」という支援的なアプローチが効果的です。

Step 4:報告文化の醸成

最も重要なのは「怪しいメールを報告した社員を褒める」文化を作ることです。報告したら怒られる環境では、不審メールが放置されてしまいます。

OutlookやGmailには「フィッシング報告」ボタンを追加できます。報告されたメールを情シス担当者が確認し、本当にフィッシングだった場合は「〇〇さんの報告により、フィッシングメールを社内ブロックしました」と全社に共有すると、報告のモチベーションが上がります。

技術的な対策との組み合わせ

社員教育だけでは100%の防御はできません。以下の技術的対策を併用しましょう。

  • SPF/DKIM/DMARCの設定:なりすましメールの受信をブロック
  • メールフィルタリングの強化:Exchange OnlineやGmailのフィルタリング設定を見直し
  • 外部メールの警告表示:社外からのメールに「このメールは社外から送信されました」と警告バナーを表示
  • MFAの全社導入:万が一パスワードが窃取されてもMFAで侵入を防止

まとめ

フィッシング対策は「技術的対策」と「社員教育」の両輪で進める必要があります。技術だけでは最後のクリックは防げず、教育だけでは巧妙な攻撃に対応できません。

まずは年1回の基本研修とMFAの全社導入から始め、段階的にフィッシング訓練と技術的対策を強化していきましょう。

筆者: 株式会社BTNコンサルティング 亀田 英佑
中小企業に特化した情シスアウトソーシング「情シス365」を運営。M365/GWS環境の設計・構築50件以上の実績。
https://www.josis365.com

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?