皆さん、こんにちは。ラウンドナップコンサルティングの中山です。

それでは、本日も中小企業や小規模事業者の方々が役立つような、様々なニュースやトピックスについて取り上げていきます。現在の時刻は2022年11月14日の23時14分です。

さて、今回は、セキュリティについて話したいと思います。

ウェブ活用やウェブマーケティング、ウェブ戦略などが主眼になっていますが、実際には、多くのお客さんから、現在のもしくは潜在的なセキュリティに対する不安が寄せられています。

そのため、ウェブを活用したセールス活動だけでなく、業務効率化や部署間の連携などがうまくいかないといった例がよく見られます。そこで、今回は、サイバーセキュリティ対策について、重要なことは何か、そして、中小企業や小規模事業者の方々がどのように対応していけばよいか、という点について、簡単にお伝えできればと思います。

まず現状について。

現状で最も問題となっているのは、フィッシングメールや標的型の攻撃です。皆さんはおそらくそのようなメールを受け取っていると思います。

そのようなフィッシングメールは、非常に洗練されており、日本語も流暢になっています。

このような状況が生じたのは、ツールが人工知能などを活用して日本語をうまく生成できるようになり、ダークウェーブに対応したツールが一般化し、低価格で手に入るようになったためです。

一年ほどで、送信されたフィッシングメールが増えたのは、123倍ほどに増加していると言われています。

この状況から、フィッシングメールが手に入りやすくなっていることがわかります。

さらに、昔は、フィッシングメールは半分ギャグのようなものでしたが、今では、バラエティーに富んでおり、個人情報の収集や、個人情報を売買するサイトへの誘導などが行われるようになっています。

このようなフィッシングメールからの攻撃は、個人だけでなく、企業や組織にとっても非常に問題となっています。

フィッシングメールがどのようなサービスサイトを詐称してくるかが、かなり絞り込まれていることがわかります。

その理由として、日本人に対して、特定のサイトを詐称して送ることが効果的だという研究が行われているためです。

また、季節やイベントなどの要因も考慮されていると考えられます。

そのことが示されているのは、フィッシング対策協議会が公開しているレポートです。

その結果によると、フィッシングメールの全体のうち、89.8%が12社のブランドから送られてきたものだとわかります

。つまり、9割以上が12社の中のいくつかから送られていることになります。この状況は、過去よりもフィッシングメールが絞り込まれており、ランダムなURLからのものが減りました。特に、最も多かったのは、アマゾンであり、全体の20.9%を占めています。

次に話題になりましたのは、検索広告で一番上に出てしまって問題になったフィッシングメールについてです。

これは駅ネットが20.4%という結果が出ました。また、報告が多かったのは金融系で、イオンカード、三井すみともカード、JCP、申請銀行などが多かったとのことです。特に問題となったのは、2022年10月に多かった国税庁からのフィッシングメールです。これは日本語ではなく、中国語の税金に関するもので、その内容から明らかにスパムだと分かります。そのため、気を付けるようにしましょう。

所得税が多かったと思われますが、タイミング的にも結構難しいでしょう。ちょっと所得税を考えると、1年間に2回か3回に分割して払うことが多いです。しかし、それでも結構小さな金額です。また、警察庁や金融庁からのフィッシングメールも増えました。さらに、10月にはじゃらんというサイトからのフィッシングメールが急増しました。これは、コロナの影響で旅行支援や旅行系の話題が多かったため、旅行系のスパムが出たようです。これは、日本の事情を理解した上で、さまざまなツールを調整している人がいると思われます。また、人工知能や人間の活動が絡んでいることで、フィッシングメールやランサムウェア、マルウェアなどの問題が深刻化しているようです。そのため、皆さんはフィッシングメールに注意してください。

10月に増えたフィッシングメールは、コロナウイルスの影響で旅行支援が増えたことに関連しています。人工知能や人間が混ぜ合わせることで、フィッシングからのランサムウェアやマルウェアの流れが交わしにくい状況になっています。そこで、小規模事業者は、セキュリティ対策を検討し、専門家のサービスを受けることをおすすめします。また、補助金を利用して、定期的な監査ツールやセキュリティ対策を導入することも検討するとよいでしょう。

重要なことは、メールを受信する量を減らすことです。もし、多くのメールを受信していると、新しいメールに触れる可能性が高まり、フィッシングメールに気づかなくなる可能性があります。そのため、社内でのメールの使用は控え、代わりにグループウェアなどのツールを使うよう

外部の取引先とのやり取りについては、可能な限り、メールではなく、グループウェアやチャットワーク、スラック、チームズなどのツールを使用するようにしましょう。また、どうしても必要な場合は、ホワイトリストを使用し、自動送信される案内や宣伝メールなどは解除するようにします。有用なメールは受信し続けますが、そうでないものは積極的に解除することが重要です。また、1ヶ月以内に開いていないメールは絶対に解除するようにしましょう。

第三に、できる限り余分なメールを受け取らないようにしましょう。同方メールなどを使用して一斉配信するようなことは避け、必要な人だけに届くようにするよう設計することが望ましいでしょう。また、フィッシング対策協議会を検索すると、そのような問題があるという情報が得られます。また、社内で使用する必要があるものはNGにした方が良いでしょう。例えば、会社では経理部門などでイオンカードやJCBカードを使用することができます。

三つ目の取り組みとしては、不要なメールの受信を最小限にすることが重要です。警察や金融庁、国税庁から来るメールなどは、一部の人にしか送られません。そのようなメールは受信しないほうが良いでしょう。また、フィッシング対策教育機会で紹介されるように、Amazonや楽天などから来るメールも注意が必要です。そのようなメールは、必要な人にだけ送るように設定することが良いでしょう。さらに、会社内からアクセスできるホームページの制限も検討することが良いでしょう。

「ゼロトラスト」という考え方は、基本的には信用しないというものです。この考え方を取り入れることで、必要最低限の穴だけを開けておいて、会社の中でのメールの受信やアクセスするURLなどを制限することができます。また、このような考え方は、会社のメールが他の環境でも使用されている場合にも役立ちます。さらに、この考え方には、SPFやDKIM、DMARCなどのテクニカルな内容も関係してきます。

まとめ

まず、今回の話題はスパムメールやフィッシングメール、マルウェア、ランサムウェアの攻撃についてです。これらの攻撃は日々進化しており、人間の判断だけで対処することは難しくなっています。そのため、「ゼロトラスト」という考え方を採用し、人間を信用しない前提で壁を作り、専門のサービスを入れることが保険として良いと考えられます。また、内部や取引先との連絡はできるだけグループやチャットツールを使い、不要な営業系のメールを解除することで、メールの全体的な流通量を減らすことが大切です。

3つ目としては、なるべく余計なメールを受けないようにすることが重要です。また、必要な人だけに届くように設計することが大切です。一斉に配信するようなメールをするより、それとは別に通知や連絡をする方が良いでしょう。また、フィッシング対策協議会を検索することで、最新の情報を得ることができます。内部で使用する場合は仕方ない部分もあるかもしれませんが、基本的には全てNGにすることが良いでしょう。

今回は、web上の攻撃について話しました。小規模事業者や中小企業の方々に向けて、恐れずにきちんと対策をすることで、業務効率が向上し、マーケティングやセールスなどの分野で活用することができるようになります。私たちは、ラウンドアップ web コンサルティング代表の中山が、webコンサルティングを行っています。それでは、また次回お会いしましょう。

週に一度のメイン回とは別の平日毎日配信放送です。

StandFMをメインに配信しています。

フォロー、いいね！レターを頂ければ嬉しいです。

10-15分の短尺、スキマ時間向けです。全て音声のみとなります。

※アプリ経由が便利です。（ iOS | Android)

投稿 [22/11/16] フィッシングメールの9割が詐称しているのはここ、約10業者 は 中小企業専門WEBマーケティング支援会社・ラウンドナップWebコンサルティング(Roundup Inc.) に最初に表示されました。