サイバー犯罪者に狙われやすい部署は「〇〇部」だ！（後編）

サイバー犯罪者の巧みな手管に惑わされない、3つの心得

（１）「ファイルが添付されているメール」には、すべて用心を。

添付ファイルをメールで受け取ったとき、真っ先に注意すべき点はタイトルではなく拡張子です。
とくに、「.exe」などの実行ファイル拡張子がついているものは、基本的に開かないようにしましょう。

また、業務でよく使うExcelやWordなどのMicrosoft Office関連ファイルや、PDFにもウイルスが仕込まれていることがあります。
心当たりのないデータファイルを開封する必要がある場合は、すみやかに社内の情報システム部門に判断を仰ぐ、といった対処をする習慣をつけましょう。

（２）送り主のメールアドレスを必ずチェック。

心当たりのないメールが届いたら、まずはアドレスの「＠」以下の文字列を注意深く見る習慣をつけましょう。
とくに、フリーメールのアドレスから送信されているものは危険度が高いです。
概ね、偽装されるメールアドレスは、ぱっと見て「公式」のものに見えるけれど、よく見たら違和感があるものばかりですので、要注意です。

（３）URLをクリックする前に、「安全性」をチェック。

アクセスせずにURL先ページの安全性を判断できる、様々なソフトやWEBサービスが存在します。
何も考えずにURLをクリックしてしまう前に、「ひと手間」をかけましょう。

「ホンモノの求職者」かもしれない送り主のメールには、どう対応する？

「標的型攻撃メール」と見分けがつかないけれど、ホンモノの求職者から送られているかもしれないメールには、何らかのリアクションをしなければなりません。どのような対応が、安全なのでしょうか？

●会社独自のエントリーフォームを設ける

（ファイル添付ができないタイプの）採用専用エントリーフォームを開設し、採用関連の問い合わせはそちらを使うよう案内するのも、ウイルス対策になります。

●電話窓口（一般公開されているフリーダイヤル）を紹介し、電話で連絡するよう案内する

相手が「ホンモノの求職者」かどうか判断しづらいメール送信者には、個人の携帯番号などを教えてはいけません。仮に送り主が「偽者（サイバー攻撃者）」だった場合、悪用されるおそれがあるためです。WEBなどで一般公開されている窓口を指定するのが、安全です。

●相手から、詳しい情報を聞き出す

前回の記事でご紹介したウイルスメール例での対応ならば、

「〇〇さまをご案内した、貴大学OB社員のフルネームを教えてくださいますか」
「ご案内をさしあげた、弊社タカハシの部署名とフルネームをお伺いできますか」

といった、当人でなければわからないはずの質問をして、相手の出方を伺うのもひとつの策です。
（ただし、質問の際、「それは営業部の高橋P子のことですか？」などとうっかり情報漏洩しないよう注意です！）

●「履歴書などは、郵送でのみ受け取る」「電話番号を載せていない求職者のメールには返信しない」といった採用ルールを設ける

会社の採用方針にもよりますが、
このような統一的なルールを設けて求職者を選別してしまうのも、ひとつの防衛手段です。

「見ず知らずの人からメールが届いても不自然でない」「業務上、『履歴書』とあれば添付ファイルを開いてしまう」
といった特性から狙われやすい、会社の人事部。しかし、注意したいのは、同様のことがほかの全ての部署でも起こりうるということです。

どの部署・職種にも、習慣上「普段、怪しまずに開いてしまうタイトルのメールや添付ファイル」があるはずです。
サイバー犯罪者は、そんな「人の意識の隙」を狙って攻撃をしかけます。

「自分は大丈夫！」という慢心は禁物。
いま一度、ご自身の「メールを読むときの習慣」を再考されてみてはいかがでしょうか。

【あわせて読みたい】
◆まさか自分が、迷惑メールの送り主に......【体験者が語るサイバー攻撃 Vol.２（前編）】