クラウドサービス(Box、Backlog、Canvaなど)の普及により、業務の効率化が進む一方で、「社員の設定ミス一つ」「たった一通のフィッシングメール」から数億円規模の情報漏洩損害に発展するリスクが、いま民間企業で急増しています。
しかし、いざ社内セキュリティ研修をやろうとしても、以下のようなお悩みを抱える担当者様は少なくありません。
- 「専門用語ばかりの研修では、社員が退屈して聞いてくれない」
- 「毎年の研修資料をゼロから作る時間も、講師を雇う予算もない」
本連載では、日本の民間企業が今まさに直面しているリアルなリスクをもとに、そのまま社内研修の「講義台本」として使える構成で、全8回にわたりセキュリティの基礎を分かりやすく解説します。
本連載について
本連載は、現在STORESで販売中の『企業向け情報セキュリティ研修動画〜明日から実践できる、組織と自分を守るための「5つの行動宣言」と護身術〜』の講義内容を全編書き起こしたものです。
動画パッケージの5分間のサンプル動画をYouTubeで無料公開していますので、実際の分かりやすさやクオリティをぜひご確認ください。
- 民間企業向け情報セキュリティ研修パッケージ:55,000円(税込)
👇YouTubeでサンプル動画を視聴する
※「プロに直接講義してほしい」という組織向けに、講師派遣・リアル研修プランも承っております。
第3章:狙われるのは「人の心」:ソーシャルエンジニアリングとメール
第3章では、サイバー犯罪者が技術的なハッキングではなく、私たちの『人間の心理』を巧みに利用して情報を盗み出す手口について解説します。
セキュリティシステムをどれだけ最新のものにして、何億円もかけて高い壁を作っても、最後にそれを使う『人間』が騙されて自ら鍵を開けてしまったら、一瞬で突破されてしまいます。
攻撃者がどのように私たちの『心の隙』を狙ってくるのか、そして毎日使うメールに潜む罠をどう見破るべきか、実践的なテクニックを学んでいきましょう。
人間の隙を突く「ソーシャルエンジニアリング」の手口
皆さんは『ソーシャルエンジニアリング』という言葉を聞いたことがあるでしょうか。
これは、コンピューターのシステムを攻撃するのではなく、人間の心理的な隙や油断、あるいは社会的な関係性を利用して、パスワードや機密情報を盗み出すアナログな手法のことです。
例えば、社内のITシステム部門を名乗って、電話で『サーバーの緊急メンテナンスを行うので、一時的にあなたのログインIDとパスワードを教えてください』と言葉巧みに聞き出します。
これは、相手の『システム部門なら教えなければならない』という心理を突いた手口です。
あるいは、オフィスの受付や、移動中の新幹線の座席、カフェなどで、パソコンに入力している手元を後ろから盗み見る『ショルダーハック(肩越しハッキング)』。
さらに、オフィスのゴミ箱からシュレッダーにかけ忘れたメモ用紙を回収する『スカベンジング(ゴミあさり)』。
攻撃者は、私たちの『親切心』や『焦り』『油断』を徹底的に利用して近づいてきます。
『自分は絶対に騙されない』という思い込みこそが、彼らにとって最大の侵入経路になるのです。
【ワーク】怪しいメールを見破れ!
では、ここで1つの実践ワークに挑戦してみましょう。

表示されている画像は、とある社員の元に届いたメールです。
一見すると、社内でよく使われているクラウドサービスの運営会社から届いた『パスワードの有効期限に関する重要なお知らせ』のように見えます。
しかし、このメールには『不審なポイント』が3つ隠されています。
画像をよく見渡し、怪しいところを3つ探してみてください。
クイズの答え合わせと「見破り技術」
はい、いかがでしょうか。
怪しいポイントは見つかりましたか?
それでは、知識がなくても絶対に騙されなくなる『見破りの技術』と一緒に、答え合わせをしていきましょう。

1つ目のポイントは、『送信元(From)のメールアドレス』です。
送信者の名前は『CloudDrive』と書いてありますが、その後ろにあるメールアドレスの『@(アットマーク)の右側』をよーく見てください。
ここを『ドメイン』と呼び、インターネット上の『住所』のようなものです。
本物の公式住所なら clouddrive.com のようにシンプルですが、このメールは xyz.com など、全く無関係な長いアルファベットの羅列になっています。
メールの『差出人名』は、誰でも他人の名前を勝手に名乗れる年賀状のようなもので、いくらでも嘘をつけます。
しかし、@の右側の住所だけは、詐欺グループも公式のものを勝手に使うことは絶対にできません。
まずここを見る癖をつけましょう。
2つ目のポイントは、『リンクのURL』です。
本文にある『パスワードを修正する』というボタンですが、これを安易にクリックしてはいけません。
パソコンの場合、マウスの矢印をボタンの上にそっと重ねるだけで、画面の端っこに『実際にジャンプする先のURL(ネット上のホームページの住所)』が小さく表示されます。
ここでの見極め方は2つあります。
まず、住所の始まりが 『http』 になっていること。
本物の銀行や企業、クラウドサービスは、通信を暗号化して守るために、必ず 『https』 という『 s 』がついた仕組みを使っています。
『 s 』がない『http』は、鍵のかかっていない泥棒に入られ放題の家と同じです。
さらに、ジャンプ先の住所も公式のURLとは全く違う偽物のサイトになっています。
3つ目のポイントは、『本文の文面と、過度な緊急性』です。
『24時間以内に変更しないとアカウントを凍結します』など、不自然なほどに期限を区切ってこちらの焦りを煽ってきます。
また、よく読むと『ボダン』になっていたり、日本語のつながりが少し変だったりしますよね。
これは、海外の詐欺グループが翻訳ツールを使って作ったメールによくある特徴です。
相手はあなたを『焦らせて、確認する暇を与えずにクリックさせる』という、人間の心理を巧みに操る罠を仕掛けているのです。
スマホ世代を狙う最新手口「キッシング(Qishing)」
また、近年、メールだけでなく、新たな入り口として急増しているのが『キッシング(Qishing)』と呼ばれる手口です。
これは、QRコードとフィッシングを掛け合わせた造語です。
メールの本文にリンクのURLを貼る代わりに、『セキュリティ強化のため、こちらのQRコードをスマートフォンで読み取って設定してください』と、QRコードの画像を送りつけてきます。
なぜ、攻撃者はわざわざQRコードを使うのでしょうか。
理由は2つあります。
1つは、PCのウイルス対策ソフトは『文字のURL』を監視するのには強いですが、画像の中にある『QRコード』を検知してブロックするのは難しいため、会社のセキュリティフィルターをすり抜けてしまいやすいこと。
もう1つは、スマートフォンで読み取らせることで、会社のパソコンよりもセキュリティ対策が甘い『私用のスマホ』から、偽のログイン画面にアクセスさせやすいことです。
メールに添付された不審なQRコードや、オフィスの近くに貼られている怪しいチラシのQRコードを安易にスマホで読み取ることは、絶対に避けてください。
ビジネスメール詐欺(BEC)の「前振り」の恐怖
さらに、企業間での取引を狙う『ビジネスメール詐欺(BEC)』の手口は、より一層巧妙です。
彼らは突然『お金を振り込んでください』とは言いません。
攻撃者は事前に、あなたの会社と取引先のメールのやり取りを何週間も盗み見ながら、取引のスケジュールや担当者の言葉遣いを完璧にコピーします。
そして、本番の請求書が届く数日前に、『今回のシステム改修に伴い、一部の支払手続きに変更が生じる可能性があります。詳細が決定次第、改めてご連絡します』といった、何気ない『前振りの予告メール』を送ってくるのです。
この前振りによって、担当者は心理的な準備をしてしまい、数日後に偽の請求書が届いた時にも『ああ、この前の連絡の件だな』と、全く疑わずに送金してしまいます。
ビジネスにおける金銭や口座情報の変更依頼がメールで届いた場合は、どんなに信頼できる相手からのメールであっても、必ず『電話』や『別の連絡ルート』で、本人に直接事実確認を行う。
このルールを組織全体で徹底してください。
第3章 まとめ
第3章のまとめです。
セキュリティを脅かす最大の標的は、システムではなく、私たちの『心』です。
ソーシャルエンジニアリングは、電話、のぞき見、そして巧妙ななりすましメールなど、あらゆる手段で私たちの油断や焦りを突いてきます。
対策として、
- 送信元のメールアドレスのドメインを必ず確認する。
- リンクURLをホバーし、ジャンプ先を確認する。QRコードの安易な読み込み(キッシング)も避ける。
- 『至急』『アカウント凍結』といった焦りを煽る言葉に騙されない。
- 金銭や口座に関するメール指示は、必ず『電話』で直接裏取りを行う。
この4つを徹底してください。
続く第4章では、もしメールの添付ファイルをうっかり開いてしまったらどうなるのか。
日本国内で猛威を振るったウイルス『Emotet』や、現代の凶悪なランサムウェアの感染経路と脅威について詳しく解説します。
第3章、お疲れ様でした。
また、クラウド認証ドットコムでは、 個別の情報セキュリティ研修(オンライン・対面) での教育支援を行っています。
■ 民間企業向け情報セキュリティ研修:連載一覧(全8回)
- 第1回:そもそも「情報セキュリティ」とは?
- 第2回:情報漏洩の致命的な代償と「法律」
- 第3回:狙われるのは「人の心」:ソーシャルエンジニアリングとメール
- 第4回:マルウェアの感染経路と「Emotet & 二重脅迫」の恐怖
- 第5回:テレワーク・外出先・SNSに潜むリスク(物理的・人的脅威)
- 第6回:クラウドサービス誤設定の落とし穴
- 第7回:インシデント発生!その時あなたが取るべき「初動10分」
- 第8回:今日から守る!「私の5つの行動宣言」
とは?企業が知っておくべき情報セキュリティの基本原則-120x68.png)
