IPA（独立行政法人 情報処理推進機構）より、
　「標的型攻撃メールの分析」に関する技術レポート
が、本日（2011年10月3日）公開されました。

レポートの中で一番気になったのは、
　「メール受信者をだますテクニック」
です。

以下、４つのテクニックがあげられているのですが、実際に自分に届いた場合に、
どうするだろう？

　テクニック１．ウェブなどで公表されている情報を加工して使用した事例
　テクニック２．組織内の業務連絡を加工して使用した事例
　テクニック３．添付ファイルのないウィルスメールの事例
　テクニック４．おれおれ詐欺を模倣した標的型攻撃メールの事例

私自身、ひょっとしたら、だまされてしまうかもしれないと思ったのが、「テクニック４」です。

なぜかというと、最近、携帯電話のメールアドレスに似たような内容のメールが
届き、返信すべきかどうか、悩んでしまったのです。

---携帯電話に届いたメール----------
　やほ(絵文字)。久しぶり。アドレス変えたよ。
　今度からこっちにね(絵文字)。
　xxxxxxxxx（ランダム英数字）@docomo.ne.jp
----------------------------------------

　しばらくメールを眺めて、しばらく連絡を取っていない知り合いの顔を
　いくつか思い浮かべて、、、、
　うーん。ちょっと絵文字がかわいすぎることに違和感があるし、
　知り合いなら名乗るはず・・・。

と思い、2,3日ほっといてみた結果、似たようなメールが数日後にまた届いたので、
スパムメールの一種だなと、判断しました。

私自身は、たまたまメールの内容に少し違和感があったのですが、普段の同僚や
友達とのやりとり、顧客とのやり取りに類似していて、違和感がなかったら、どうでしょうか？

気がつくことができるでしょうか？

「いまどうしてる？」という感じの軽いメールの内容に対して、送信元のメールアドレスを
確認したり、別の連絡手段でメールの送り主と思われる人に連絡を取ってみたり、と、
そこまでするでしょうか？

★組織でのポイント★
おれおれ詐欺などの犯罪と同様に、標的型攻撃メールも巧妙化しています。
だまされないようにするために、どうすればよいでしょうか？

特に同僚や友達からのメール、付き合いの長い顧客からのメールと判断した場合、
何の疑いもなく、開いてしまったり、書かれているURLにアクセスしてしまったり、
してしまいませんか？

自組織には、標的型攻撃メールは、来ないからと、決め付けるのではなく、
組織で、以下のようなことを共有、議論してみてはいかがでしょうか？
　・どんなメールが届いたら、だまされてしまう可能性がある？
　・だまされないために、個人で何ができる？組織で何ができる？
　・メールに違和感を感じたときに、どう行動すべき？誰かに伝えるべき？