2万社以上にセキュリティ対策を強化したメールサービスを提供しているサイバーソリューションズ(東京都港区)のシニアエンジニア 高橋長裕氏が、電子メールのセキュリティ対策について解説する本連載。2回目は、実際に届いた詐欺メールの文例から、つい引っ掛かってしまいそうなウイルス添付メールの手法を紹介します。
賞与支払の通知、有名企業からのアンケート、有名企業や団体からの見積もり依頼、そしてChatGPTによる巧妙な日本語の通知など、その種類はさまざま。あなたはそのワナを見破れますか。
画像はイメージ(画像提供:ゲッティイメージズ)ボーナス時期だからこそ「賞与支払届」を疑え
もうすぐ賞与の時期ですね、昨今の物価上昇に伴い支給額上乗せを検討している企業も多いかと思います。そんな心躍る毎年6月、12月の時期に多発するのが「賞与支払い通知」を装った詐欺メールです。2020年のEmotetの時期に大流行した詐欺メールの実例では、拡張子が「.doc」のファイルが添付されていました。
「承認完了」「賞与支払統括表」などの文言から、受信者は、賞与支払の手続き上必要なメールだと勘違いし「総務や経理が賞与支払の一覧を誤送信したのかな?」という興味から、ついうっかり開いてしまうのです。
確認することよりも興味が先立ってしまう「見てはいけないものを見る」という行為をそそる手段でもあるので注意が必要です。
賞与支払い通知を装った詐欺メールの一例(一部加工してあります)今までにない、知らされていないフローで給与や賞与の連絡が回ってきた場合は、見たい衝動をぐっとこらえ詐欺メールを疑うことです。それでも「本物かな?」と思った場合は、担当部署に直接確認する方が良いでしょう。
有名企業からのアンケート、だけじゃないかも?
こちらは、有名なセキュリティ企業からのアンケート調査を装った詐欺メールです。本物のアンケート調査メールのような作りで巧妙です。差出人メールアドレスが“本物(実在)の送信者名”(攻撃者のメールアドレス)となっています。攻撃者のメールアドレスを残しているのは、なりすまし対策の技術「DMARC」をさける意図があると考えられます。
セキュリティ企業からのアンケート調査を装った詐欺メールの一例(一部加工してあります)メールの一覧画面などで見る限りでは、送信者部分が本物の送信者名で見切れてしまうケースもあるため非常に見分けがつきにくいメールとなります。このような形式のスパムメールは散見されるため、必ず本文を開いて差出人名欄を全て確認するようにしてください。
また、超有名企業ではなく、逆にニッチで利用者がそこそこいるようなサービスを偽ったメールも注意が必要です。
まさかこのサービスを偽っての詐欺メールはないだろうという油断と、実際に自分が契約しているという事実が奇跡的にマリアージュ(顧客リストが漏れていただけという仕組まれた奇跡かもしれません)することで普段は慎重な人でもつい釣られてしまうかもしれません。
関連記事
からの記事と詳細 ( ChatGPTの登場で詐欺メールはさらに巧妙に? 気を付けたい【文例 ... - ITmedia ビジネスオンライン )
https://ift.tt/tshZy1c
No comments:
Post a Comment