テレワークで知っておくべき６つのフィッシング対策

テレワークで知っておくべき６つのフィッシング対策

家の中でテレワークをしていて、フィッシングサイトなどから企業情報が漏洩してしまうことは、会社の信用を下げてしまうことにも繋がってしまうため、必ず避けなければなりません。ですが、自宅でテレワークをしている方の多くの人はセキュリティについての知識が無いまま、テレワークをしていて実際にどんな行動が情報漏洩に繋がるのかを理解していないケースが多いです。

そのため、今回はテレワークをするにあたって必ずと言って良いほど使用することが多い、メールソフトやSNSといったメッセージのやり取りなどで起こりうるフィッシング対策について知り、フィッシング詐欺にかからないようにするための基礎知識を紹介していきます。

フィッシングとは？

金融機関や企業など、信用できると思われる送信元を装ったメールを不特定多数や、特定した標的に送り、IDやパスワード、クレジットカード番号や、個人情報、財産や企業秘密などを抜き取る犯罪です。特定した標的に狙いを定めて行うフィッシングでは、個人情報を下調べした上で、会社の上司や、得意先になりすまして、メールを送ってくることもあります。

フィッシングはウイルスなどのマルウェアと同様にネット犯罪の一つの手口として利用されていますが、大きく異なる点はマルウェアは被害者の使う「コンピュータを標的」にしていることに対し、フィッシングでは、「人を標的」にしています。そのため、あなたや、あなたの企業の情報を抜き取るということが起こってしまいます。

フィッシングがどのようなものかわかったところで、次にどのような対策をするべきなのをみていきましょう。

出典：フィッシングの基礎知識

後になって後悔しないために必ず行うべき６つフィッシング対策

①メールアドレスの確認

金融機関や企業を装ったメールアドレスでも、ドメイン名までを同じ物を使用してメールを送ることはできません。そのため、通常のメールアドレスとは違ったアドレス（例）「@irohaie.com.tw」などといった、アドレスからのメールは本文がそれらしい文章であっても100％偽物ですので、リンク先を開かないようにしましょう。

このようにメールアドレスを注意して確認することはフィッシングにかからないためには重要な対策です。

②個人情報やパスワードの入力を求める記述がないか

企業においては、Googleアカウントや、SNSアカウントの入力をしてしまうと、アカウント自体を乗っ取られてしまう可能性もあり、企業秘密の情報などが見られてしまう恐れもあります。

そのため、個人情報やパスワードの入力を求められるようなHTMLメールの場合、一度フィッシングの可能性を疑い、入力を止めて他の項目に当てはまっていないかを確認することや、確認ができるのであればすぐに責任者にメールの内容を相談することで対策をしていく必要があります。

③メール本文のリンクが本物か確認

世の中のメールの多くにはメール内にURLの記載があることが多いですが、中でもメール内で表示されているURLと、実際のURLが異なることもあります。そのため、テキスト表示されているURLは正しくても、実際のリンク先はフィッシングサイトへのURLだった…なんてこともあります。

マウスカーソルをURLの上に持ってくると実際のURLがひょうじされるので、異なる場合は、リンクを開かないようにして、フィッシングであることを疑うことが大切です。

④メールに電子署名がついているか

送信者情報を偽ってのメールや、送信途中で改ざんされたメールの場合、本物かどうかを見分けることが難しいですが、このような時に確認するべきなのが、電子署名（デジタル署名）です。

電子署名付きのメールには受信の際に署名付きメールであるマークがつきます。また、メール本文にも署名付きであることを示すマークがつきます。この署名付きマークがあるメールは内容が改ざんされている可能性はないので、信用できるものとして扱うことができます。

⑤SNSで著名人、知人、友人からの書き込み、メッセージに不審な点がないか

TwitterやFacebookなどのSNSで友人からのメッセージにも注意が必要です。あたかも著名人や、友人を装った形で、メッセージを送ってくることがあり、著名人の偽アカウントや、友人のアカウントを乗っ取ってフィッシングを行っている可能性があります。

信用できる人からのメッセージであっても本文の無い添付だけのメールや、URLが記述されたメールなどはSNSでのメッセージのやり取りの際はURLに注意し、十分な確認を行うようにしましょう。

⑥SSLサーバ証明書が導入されているかどうかアドレスバーを確認する

URLが安全なものかどうかを確認することは、SSLサーバー証明書が導入されているかどうかを確認することでわかります。「https」となっているサイトであれば、サイトを運営する会社の身元を確認することができるため、比較的安全なサイトであると言えます。

「http」となっているサイトでは、フィッシングサイトの可能性も高く、個人情報やクレジットカード番号などの情報を入力することはマルウェア感染のリスクを高めるため、注意する必要があります。

出典：テレワークセキュリティガイドライン 第４版 総務省

まとめ

フィッシングは被害に遭ってからその重大さに気づくことが多く、被害に遭ったことのない人にとってはセキュリティ意識が低いというのは事実です。そのため、メールやSNSといったツールを使ってのメッセージのやりとりを行うことが多いテレワークにおいては、今回ご紹介した６つのポイントを抑えておき、注意喚起しておくことで、家の中でテレワークを安全に行える環境を整えることにも繋がり、情報漏洩を防ぐことになります。

これからテレワークのしやすい家づくりを検討している方はもちろんですが、既にテレワークをしている方は今一度６つのポイントを意識してテレワークをしていくようにしましょう。