有料会員登録 東洋経済オンラインとは
ビジネス #誰も言わない セキュリティ経営の本音

「送信元が公式ドメイン→安全」は嘘《GoogleやMicrosoftのサービスが詐欺の"配達役"に》だまされないための3つの習慣

6分で読める
女性が未読メールを確認しようとするイメージ
公式ドメインからのメールでも「詐欺」の可能性がある(画像:Sandwish / PIXTA)
  • 伊藤 秀明 AIセキュリティ コンサルティング&ソリューション事業統括本部 シニアマネージャー
2/4 PAGES
3/4 PAGES
4/4 PAGES

この手口がやっかいなのは、メールのように「開くかどうか」を自分で選べない点です。何も操作しなくても見知らぬ予定がいつの間にか入り込み、定刻になると通知やリマインダーまで表示されてしまいます。

(画像:筆者原稿を基に生成AIを使用して編集部作成)

「どこから来たか」より「何を求められているか」で判断する

送信元の確認が無意味になったわけではありませんが、それだけでは防ぎきれなくなっているのが実情です。ここで確認すべきは、ページやメールが本物かどうかではなく、そこで自分が何をさせられているかという視点です。これからは、どこから来たかではなく何を求められているかを判断基準として、次の3つを習慣にしましょう。

- 通知のリンク先でパスワードを入力しない
ログインが必要なら、いったん通知を閉じて、ブックマークや公式アプリからログインし直す。GoogleのログインページのURLは「accounts.google.com」なので、改めてリンクを確認する。
- 心当たりのない共有や招待は、開く前に相手へ確認する
送り主を名乗る人に、電話やチャットなどメール以外の手段で「送りましたか」と一言聞く。確認が取れないものは開かない。
- カレンダーの自動追加設定を見直す
Googleカレンダーの設定で、招待の自動追加を「送信者が既知の場合のみ」に変更する。万能ではないが、見知らぬ相手からの招待が勝手に予定表へ入るのを防げる。

3つに共通するのは、相手の要求に乗る前に一呼吸置くことです。攻撃者は必ず私たちに何かをさせようとするため、その瞬間が見抜くチャンスです。

それでも、忙しいときにうっかり入力してしまうことはあると思います。もし入力してしまったら、すぐにそのサービスのパスワードを変更し、多要素認証(パスワードに加えてスマートフォンなどでも本人確認する仕組み)を有効にしてください。

仕事のアカウントなら、ためらわずにIT担当部門へ報告しましょう。報告が早いほど、被害は小さく抑えられます。

筆者もセキュリティの相談を受けるなかで、「Googleからのメールだったので疑いませんでした」という声を聞いてきました。送信元は正真正銘の本物なのですから無理もないと思います。そのため、「公式ドメインだから安全」という思い込みを改め、送信元ではなく何を求められているかで立ち止まれれば、被害の多くは防げるはずです。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

こちらの記事もおすすめ

あなたにおすすめ

ビジネス

人気記事 HOT

※過去1ヶ月以内に配信した記事の閲覧数