標的型メール対策には訓練しかないらしい
日常的に見かけるようになった標的型メール
私の周辺でもあたりまえのように見かけるようになった標的型メール。
当院で多いのは、採用人事の問い合わせ用のメールアドレスに、それらしく装ったメールが入ってくるケース。
以前はWebサイトに直接メールアドレスを記載していたので、それが原因だと思います。
不審なメールが入るようになって、問い合わせはすべて専用フォームで受けるように変更、受信用のメールアドレスを非公開にしたのがかれこれ1年ほど前。
それでもこうしたメールが入ってくるのは止まず、むしろ頻度が増えているように感じます。
フィルタリングはできないのか
当院のメールは至ってシンプル、ホスティングサービスのメールサーバーに、メールクライアントはOutlookです。
ところで、あまり大きな声では言えないのですが、私はメールクライアントにGoogleのGmailを使っているのです。
前の職場でOutlookからGmailに乗り換えて、その後今の職場に転職した時に再びOutlookを使ってみると、その不便さに愕然としたものです。
そんなわけで、当時、(元)システム管理者の特権を利用(乱用?)し、自分だけGmailを使い始めてしまったのです。
その後、私の周辺の職員が、「俺もソレ(Gmail)、使ってみたい」と、一人、二人とGamilユーザーが増えてきております。
じつは、このGmailユーザーから、標的型メールを含む、いわゆる迷惑メールの報告が一切入っていません。
それは、強力な「フィルタ機能」によるものだと思われます。
そんなわけで、私自身はこの「標的型メール」にまったく困っていないのです。
さて、それなら全職員にGmailを使わせるかというと、やはり無償のクラウドサービスということで、それはそれで問題でしょう。
なにより、メールのセキュリティ対策は、本来私の仕事ではなく、私が元いた、システム部門の仕事です。
標的型メールには職員教育しかない?
そんな中、最近よく聞くのが、標的型メールにだまされないための職員教育のお話しです。
つい先日も、大手ITベンダーさんから、「標的型メール対策の職員教育を商品化しましたのでいかがでしょうか」とご提案いただきました。
なんでも、それらしい文面で、職員にダミーのメールを送りつけて、メールを開封した、あるいは、メールの文面にあるリンクをクリックした職員をカウントし、どの程度のリスクが潜在しているのか、確認するのだそうです。
リンクをクリックした職員には、ネタばらしのページが表示され注意を促されるのですと...。
「優れたフィルタ機能があれば、そこまでしなくても...」と思わず言ってしまいましたが、標的型メールの攻撃は、どんどん巧妙になってきて、「最後はメールを受信した人間が判断するしかない」という考えが広く浸透してきているとのことです。
最初は、全職員に対して行うのではなく、人数を絞って試してみるのがポイントだとか。
全職員を対象にすると、それだけ費用も高額になります。まだ実害が発生していない脅威に対して決裁者が財布の紐を固くするのは、いつものことです。
そこで、一部の職員に絞って試してみて、ひっかかった人数がそこそこになればその結果を持って、範囲を拡大する決済を取れば良いのですと。
なるほど...、こちらの事情をよくご存じのようで。
コメント
コメントを投稿