アマゾンからメールが来た。
支払い方法に問題があり、更新しないといけないらしい。
メールには更新先のリンクがあって、
その先に行くといつものログイン画面が表示される。
メールアドレスとログインパスワードを入力して、ログインする。
ログインできない。
悪意ある者にメールアドレスとパスワードは盗まれて、
アカウントは乗っ取られる。
迷惑メールは日々たくさん送られてくる。
その中には、うまくすり抜けて受信ボックスに入ってくるものがある。
送信元アドレスは表示させたい言葉で隠すことができる。
その言葉を、正しそうなメールアドレスにすると、正式なメールであるかのように偽造することができる。
メールの内容も、リンク先のページも正しそうにすれば、
ぱっと見は詐欺サイトだとは気づかない。
もちろんURLを見たらおかしいことはわかるのだが、
気が散っているとき、片手間で作業をしている時、急いでいる時、
チェックしないことはある。
これは問題だと思った。
情報セキュリティの管理は、
ちゃんとしないと、
会社を潰しかねない。
だから、研修の題材にすることにした。
僕がいた前の職場でも、つまらない詐欺に引っかかって大問題になった。
数千万円を振り込むことになった経緯は、大差ない。
例えば、アマゾンのアカウントが盗まれたとする。
そのIDとパスワードはメールと同じだったりしないか?
大抵の人はそんなにたくさんのIDとパスワードを管理できない。
だから同じものを使い回している。
一度、アカウント情報が流出するリスクはここにある。
芋づる式に重要な情報が盗まれかねない。
そして詐欺者はメールにアクセスする。
アクセスしてもすぐに行動を起こさない。じっとモニタリングする。
アカウント所有者のメールのやりとりを読み、業務の進捗を把握する。
業者Aとのやりとり。
見積もり取得。
発注。
業務進捗。
完了。
請求。
支払い。
一連の流れがメールでやりとりされている。
この業者Aとの取引は反復的に行われている。もちろん今も。
業務が完了したタイミングで、前回と全く同じ請求書が送られてくる。
でも、この請求書は詐欺者が作ったものである。
最後には、今回から振込先が変わりましたと追記されている。
流れは全て自然であり、
メールアドレスの所有者は特に疑問を抱かず振り込み処理をした。
そして数千万円が消えた。
一度金が詐欺者に振り込まれたら、その金は絶対に戻ってこない。
世の中、騙そうとしてくる奴は結構いる。
向こうから近づいてくる奴は大抵信じない方が身のためだ。
メールだけじゃない。
電話勧誘でも、
対面でも。
僕は社員のみんなに以下のリストを徹底するようお願いした。
覚えていてくれれば良いのだけど。。
- パスワードのメモは残さない
- ID&パスワード、クレジットカード情報は無闇に入力しない。入力する前は必ず誰かに確認する。
- メールは基本的に信用しない
- パソコンOS、ソフトは常にアップデート
- アプリはApp Storeからしかダウンロードしない
- ケータイ、パソコンはログインパスワードを設定
- 大切なファイルは常に共有フォルダにコピーを保存
- 使用するサイトは常に疑う。
大事なこと。
ID&パスワードやクレジットカード情報を求められたら、
他の社員に確認すること。
良かれと思ってやらない。
コメント