【注意喚起】あなたの会社の社長を騙る詐欺メールが氾濫しています。

昨年末頃からでしょうか。「［社長の名前］<●●●@hotmail とかoutlookとか>」の形で直接返事をしろとか、LINEグループを作るからとかというメールが届くようになりました。
実際、こういったメールに引っかかったところでは、多額の金銭を振り込まされるといった詐欺被害にまで至っており、警察等で注意喚起がされています。

【重要】社長⋅役員を装う「LINEグループ作成依頼」メールによる詐欺にご注意ください(LINEヘルプセンター)

※近頃はLINEグループ作成詐欺メール対策を逆手に取った別のマルウェア、ウイルス感染の恐れのあるツール配布みたいなものも出てきていますので、これも注意です。

LINEグループ作成対策で偽の「メール遮断ツール」、ウィルス感染のおそれがあり要注意(Yahoo!ニュース)

たいていそういったメールは、infoやcontactなど、公開されていたり代表アドレスとして一般的に認知されているメールアドレスをターゲットに送られています。

最近のメールセキュリティ(DKIM、DMARC、SPF)は無関係です。

昨今メールを正常に送れるようにしたり、自社のドメインを騙るメールを相手先でブロックしてもらったりするようなDNS設定ベースのセキュリティ対策が求められていますが、今回のケースに対しては何の意味も持ちません。

騙られているのは、あなたの会社の社長の名前で、メールアドレスはフリーメールです。

対策は、ルールと教育のみです。

私の関係先でも同様のメールは毎日のように届き、メールセキュリティシステムが上手いこと駆除してくれてもいますが、けっこうなレベルですり抜けます。
ただ、少なくともこれに引っ掛かりかけた話も出てきませんので、何故だろうかと考えますと、唯一「メール利用のルール」と「リテラシー教育」に尽きるということになります。

メール利用のルール

私が一番推奨しているのは、会社として統一したフォーマットでの署名（シグネチャ）を必ず付けるというものです。署名無しでメールを運用している企業も多いのですが、今回のものについては、「いつもの署名が無いからオカシイ」という簡単な判断が可能です。

メールの運用効率などで無用な署名などは無くてもいいという効率化を優先する界隈が多いのも理解していますが、中小零細企業ほど、ここはキチンと運用ルールとした方が良いです。

また、当たり前ですが、フリーメールなどで業務メールを送らない。というのもあります。Gmailなどでも会社のメールアドレスを差出人として設定できるサービスはありますので、そういうものを使えば最低ラインは解決できます。

メールについてのリテラシー教育

安全にメールを使うための送受信での確認ポイントなどを定期的に教育を行い、社内のリテラシーを向上することも重要です。
これは、先述のルールについて無意識に判断ができるレベルにするといったものです。

このリテラシーが高まることで、メール内容に対する判断力も向上しますので、今回のメール以外のランサムウェアや詐欺メールなどに対する被害軽減にも繋がることが期待できます。

ぜひ社内の状況を確認していただき、できる対策を適切に取っていただきたいと思います。