昨年から被害が多くなってきているCEO詐欺ですが、私にもメールが届きましたよ！なんでウキウキしているのか？よくわかりませんが…

お疲れ様です。

社内コミュニケーションの円滑化に向け、先行してLINEグループの作成をお願いします。
作成にあたっては、以下の指示を厳守してください。
1.グループ名：必ず会社の公式名称を使用すること。
2.メンバー招待：現時点ではあなた一人のみとし、他のメンバーは招待しないでください。
3.QRコードの送付：グループ作成後、直ちに招待用QRコードを本メールアドレス宛に送付してください。
今後のメンバー追加等の指示については、私がグループに参加した後に行います。
以上、漏れのないよう対応をお願いします。

このメール、私のメールアドレスから、私の名前で、私に届きました。なんだそれ？とりあえず記憶がないので多分書いてません。

【重要】社長⋅役員を装う「LINEグループ作成依頼」メールによる詐欺にご注意ください

これ古典的な手法です。ソーシャルエンジニアリングの電話で行うのよりも「ばら撒き」出来る分だけ、詐欺としては効率いいと思います。

ソーシャルエンジニアリング関連ブログ：
AI時代のソーシャルエンジニアリング手法に聞き出されるって、どうすればいいのですかね？
今年は国勢調査の年「便乗した偽物を見分ける眼力」と「押さえておきたいポイント」

こういう連絡が来る側（社員

相手が誰であろうと、必ず本人に直接確認をするしか方法はありません。誰かに依頼するにしても複数でチェックすることで被害は最小限になります。

と言っても、詐欺ならば「おおぉぉ！ 確認してくれて有難う！」となりますが、経験上「本物の社長」とかが指示をしてくるケースもあります。突然電話がかかってきて詐欺のような「本物からの本当の指示」など。

詐欺の場合は、こういう連絡がくる側に時間的猶予を与えないという常套手段がありますので、急かしたり、パワーで押してきます。受けた側は、ヤバイ早く対応しないと…となるのは、至極当然なこと。

セキュリティを考える上で一番厄介なのが、どうすれば回避できるか？と、受け側だけでどうにか方法を考えがちなところです。出来ることと、出来ないことがあります。ここだけはハッキリしておかないと、もうどうにもなりません。

こういう連絡をする側（社長とか上席者

先に書いたように、本物からの本当の指示や実際に急ぎでしなければならないケースなど、柔軟に対応出来れば良いんだ！となりますが、本当にそうでしょうか？

昨今のサイバー攻撃や情報セキュリティ関連の事情を考えれば、指示側が決めたお約束を作る責任があります。

・こういう手段で、こういう指示をしない。と明言することです。

特殊詐欺のなりすましも、親子でキーワード決めていたり、コールバックするなど、一定の約束があるから、多少なりとも被害は減っています。

イレギュラーな事例の時、連絡をする側、受ける側のどちらが、どのように、状況を判断しますか？

支持側が手順を事前に決めておく以外にありません。

誰にも出来ません。社長が決めて進めて下さい。

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか？

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。

詳細はこちらへ