2024年の元日に発生した能登半島地震の後、非常に残念なことに、悪質な詐欺が確認されています。
正式な組織を装い、被災地への復興支援活動を目的と騙り「災害救助金」を募り、この金銭を騙し取ろうとする詐欺です。
また、寄付のお願いと称してフィッシングサイトへ誘導する例も過去確認されています。
自然災害を悪用し、企業や組織を狙う攻撃メールも想定されます。
組織として、このような詐欺に注意し、適切な対策を講じましょう。

詐欺や被害に遭わないためのチェックポイント

１．差出人を再確認する：
標的型攻撃メールは、実際に存在しない送信者組織から来ることがあります。インターネットで調べても情報が得られない場合は、特に注意が必要です。一方、正当で信頼されている組織になりすました攻撃メールもあります。この場合、公式ウェブサイトなどの信頼できるソースを見て、実際にその組織であることを確認することが重要です。

２．求められる情報に注意する：
正当な募金活動は、個人情報の取得を最小限に抑えます。 クレジットカードや銀行口座のパスワードなど、募金に必要のない情報を求める場合は、個人情報や金銭の窃取を目的とした詐欺の可能性が高くなります。

３．感情を煽る言葉に警戒する：
災害を利用した詐欺メールは、被災者の窮状を訴え迅速な寄付を促します。しかし、寄付は善意によるものです。正当な団体は圧力をかけません。”今日寄付しなければ”のような煽る言葉には注意が必要です。

４．使用されているリンクやボタンを慎重に検討する：
詐欺メールには、正当な組織のウェブサイトに見せかけた偽のサイトへ誘導するリンクが含まれていることがあります。リンクのURLをマウスでホバーして表示される実際のアドレスを確認し、怪しいリダイレクトや誤字がないか検討することが重要です。

５．公式機関や信頼できる情報源からの情報を優先する：
災害支援の情報は、公的機関や信頼できるNPOなど、確かな情報源から入手しましょう。見慣れない組織からの要請には特に慎重に対応する必要があります。

詐欺メールの例

過去に発生した地震災害の際にも、同様の詐欺が多数報告されています。特に2011年に起きた東日本大震災の直後には、日本フィッシング対策協議会がフィッシングサイトの出現を確認し、警告を発しています。
これらの詐欺行為は、被災者や善意の支援者を狙い、彼らの不安や善意を利用する非道な手口で行われています。

https://www.antiphishing.jp/news/alert/2011314.html

また、2016年に発生した熊本地震の直後には、直接対面での勧誘や電話によるもの、そして電子メールを通じた金銭的詐欺が急激に増加しました。このような状況を鑑みると、災害時には情報の正確性を確認し、不審な勧誘やメッセージには十分注意することが極めて重要であると言えるでしょう。

具体的な対策

攻撃メールによる脅威は絶えず進化し、非常に巧みになっています。
また多い時には毎日のように攻撃が行われることから、実際にメールを開く従業員に周知することが重要です。
このような脅威インテリジェンスや、攻撃に対する訓練、最新の脅威やトレンドへの意識は、今日の世界では不可欠となっています。

攻撃に対するセキュリティ意識の向上を行うため、対策の一つとしてメール訓練サービスがあります。従業員の皆さんが本物そっくりの訓練メールを通して、正しい見分け方と適切な対応策を学ぶことができます。

神戸デジタル・ラボが提供するSelphish（セルフィッシュ）は、初めてメール訓練を実施する方でも簡単に実施できるよう、管理画面のUI/UXにこだわって開発しました。 実際に大手メーカーのTier1企業の方からは「60歳を超えた自分でもマニュアルを読まずに訓練ができた」と感想をいただいています。
また、文面のカスタマイズも簡単にできますので、各企業のニーズに合わせた最適な訓練を実現します。

文面の例はこちらの記事をご覧ください。

5人に1人が課題を感じる「標的型攻撃メール訓練の文章」作成のヒントをご紹介：
メール文例編
https://security-academy.jp/blog/security/post-14/
資料はこちら
https://security-academy.jp/download/605/

まとめ

誠に残念なことに震災など大きな事件を悪用する攻撃や詐欺に対して対策することが必要な時代に直面しています。
会社を守り、被害者にも加害者にもならないために、ぜひSelphishをご検討ください。