2019年に流行したメールやSMSからの脅威と対策をおさらい、という記事がトレンドマイクロ社のページに掲載されています。

is702.jp

自分が情報システム室長時代からメール詐欺は非常に多く、一般社員の教育で何度も・何度も・何度も、繰り返してメールの詐欺内容を紹介して、詐欺メールの見分け方を教育したものです。

一般の技術者なら大丈夫・・・というわけでもなく、ドメイン管理者あてに「ドメインの有効期限が切れそうだから、ここから更新してね」という英文メールも実際に自分宛てに届きました。実際に更新期限まじかで、更新しないドメインだったので無視で大丈夫でしたが、更新を忘れていた場合はどうでしょうか？

・自分は絶対に騙されない

と思っている人は、必ず一定数存在します。というか、いました。そんな人はセキュリティ研修をないがしろにしやすいんですよね・・・・でも、こんな人こそ詐欺にあいやすいです、はい。

下記のページをよく読んでください。マルチやオレオレ詐欺について、騙されないことを目的として書かれている記事ですが、ぜ～～んぶフィッシング詐欺にも利用されています。

yourbengo.jp

自分が教育する立場だったときに、最初にお話しするのは

メールを「信頼する」姿勢をユーザはデフォルトとして持つ

ということがあげられます。と話していました。Fromで通知されているメールアドレスからアドレス帳を検索して氏名を表示する、などの対応がなされていない限り、メールの表示はFromで通知されている氏名が表示されます。（同時にメアドも表示されますが、表示方法はメーラーに依存です）

だからこそ、

どうやったら、

フィッシング詐欺メールの違和感に気づくか！？

という、テクニックを磨くかも非常に大事です。フィッシング詐欺はWEBサーバを攻略してスキミングプログラムを仕掛けたりする必要がなく、メールの先にいる人という、ある意味一番攻略しやすい対象を標的にしてし、かけるコストに比べてリターンが非常に大きいから、これからもなくなりません。

まずはしっかり騙されないように、心構えから考えましょう。