小学館の取締役がフィッシング詐欺の被害にあい、不正アクセスによる個人情報漏えいのおそれ。今こそ、偽メール対策を見直そう。

こんにちは。
弁護士の浅見隆行です。

4月25日、小学館の取締役が、偽メール(SMS)に騙され、個人情報が漏えいしたおそれがあることが明らかになりました。

このたび、弊社取締役が使用する会社貸与スマートフォンから、同スマートフォンに登録されていた個人情報が漏洩したおそれがあることが判明しました。
(中略)
2023年4月4日に弊社取締役が使用する会社貸与スマートフォンに、宅配業者を装ったSMSが届き、それを真正の不在通知と誤認してアカウント、パスワードを入力。その後、スマートフォンに表示された通知によって、第三者による不正アクセスが行われたことが判明しました。

個人情報漏洩に関するご報告とお詫び

これは、2018年頃から目立ち始めた、典型的なフィッシング詐欺です。

宅配業者を装った偽メール(SMS)のほか、2021年10月からは通信事業者を装った偽メール(SMS)も現れました。
各社が公式サイトで注意喚起をしています。

今回は、企業の役員、従業員が偽メール(SMS)の被害にあわないためには、どこに注意したよいか。情報防衛の観点から偽メール対策を再確認します。

偽メール対策は取締役の法的責任

偽メールの典型例

スマートフォンが普及するようになってから、宅配業者や通信事業者を装ったURL付きの偽メールを送り、リンク先に誘導する事例は年々増加しています。

  • URLをタップすると有害なアプリやウイルスのインストールが始まる。中には、インストール手続き中に正規のウイルス対策アプリを削除するように誘導するアプリもあるようです。
  • URLをタップすると偽サイト(フィッシングサイト)に誘導される。フィッシングサイトでは、IDやパスワードを入力させたり、クレジットカードの情報を入力させる。
  • URLをタップすると偽サイトに誘導される。偽サイトでは未払い金を支払うように表示される。

が代表的なものです。

偽メール対策は取締役の責任

「偽メールの被害に合わないようにすることは、個人の問題でしょ」と感じる方も多くいると思います。

しかし、

  • 会社が従業員にタブレットやスマートフォンを貸与している
  • 私物のタブレットやスマートフォンを業務にも使用している

といった場合には、タブレットやスマートフォンの中に

  • 顧客情報(氏名、連絡先、メールアドレスなど)
  • 業務に関わる情報(保存したワードやエクセルなどのファイル)
  • 業務で使用しているクラウドサービスにログインするためのID・パスワードの情報
  • 業務で使用しているアプリとそのアプリで利用しているデータ

などが記録・保存されていることが少なくありません。

  • インストールされた有害なアプリが顧客情報を利用して、次の偽メールを発信する
  • インストールされた有害なアプリやウイルスによって、顧客情報やオフィス系のファイルや業務用アプリ内のデータが吸い上げられる
  • フィッシングサイトに入力されたIDやパスワードを利用して、業務で使用しているクラウドサービスに不正アクセスされ情報を盗まれる

こうした被害が生じた場合には、もはや個人の問題では終わりません。

会社の情報セキュリティ、情報管理の責任が問われ、損害賠償の問題に発展することさえあります。

そのため、偽メール対策に取り組むことは取締役の法的義務と言えるのです。

偽メールへの対策

企業が対策を講じるべき偽メールは、現在は3種類と言って良いでしょう。

  1. フィッシングサイトに誘導してID・パスワードを盗むことを目的とするフィッシング詐欺メール。
  2. URLをタップすることでウイルスをダウンロードさせる詐欺メール。現在はEmotet(エモテット)やマルウエア(ランサムウエア)と呼ばれるウイルスをダウンロードさせるものが注目されています。

  3. 取引先を装って偽造した請求書を送りつけ入金させる詐欺メール。社長や役員に成りすまして財務経理部門や取引先に送金を求めるパターンもあるようです。

フィッシング詐欺

今回、小学館の取締役は宅配業者の偽SMSを正しいものと誤認し、ID・パスワードを入力してしまったということなので、このフィッシング詐欺に遭ってしまったのだと思われます。

フィッシング詐欺対策の一番のポイントは、正しいメールなのか、フィッシング詐欺に誘導するメールなのかを見抜くことです。
メールの文中にURLが載っているからといって安易にタップしないようにしてください。

ヤマト運輸のサイトに見抜くためのポイントが図入りで解説されていて、参考になります。

こうした見抜き方の情報を社内で共有し、かつ、その内容をきちんと説明して理解を浸透させることも、会社は情報管理のために偽メール対策をやっていることになります。

ただし、情報を共有するだけで「見といてね」では不十分です。内容を理解させることが必要です。

Emotet、マルウエア(ランサムウエア)

現在、世界規模で被害が生じているのがEmotetやマルウエア(ランサムウエア)と呼ばれるウイルスに感染させるメールです。

Emotetに感染すると

  • 感染したパソコンやタブレット、スマートフォンから情報を吸い上げる
  • 感染したパソコンやタブレット、スマートフォンの中に保存されている個人情報を利用してさらに感染を拡大させようとする

厄介なウイルスです

国内でもEmotetの感染事例が数多く報告されています。

Emotetに感染させようとするメールの中には、「正規のメールへの返信を装う手口」が使われているものがあります。

過去にメールのやり取りをしたことのある実在する相手の氏名、メールアドレス、メールの内容等の一部を流用し、まるで、その相手からの返信メールであるかのように装っているのです。

また、マルウエア(ランサムウエア)の感染事例も急増しています。

マルウエア(ランサムウエア) に感染すると、パソコンやタブレット、スマートフォンを利用できなくなり、これを解除するため、身代金(ransom、ランサム)を支払えと要求されます。

感染したときには業務への支障が大きいので、対策が必要です。

Emotetについては、独立行政法人情報処理推進機構のサイトに詳しい対策が書かれているので、参考にして下さい。

マルウエア(ランサムウエア)については、政府広報が予防策と感染後の対応を書いているので、参考にしてください。

こうした情報もまた従業員に情報を共有し、かつ、理解させることで、取締役は偽メール対策は十分に行ったと言えるようになります。

なりすまし

最近では、取引先や役員の名前を騙って入金に誘導させる、なりすましでの詐欺メールも増えています。

なりすましの場合、

  • 自分たちの会社がお金を請求される被害にあうケース
  • 自分たちの会社や役員が勝手に名前を使われるケース

の両方があります。

自分たちの会社や役員が勝手に名前を使われた場合には、ほかの会社に向けた注意喚起をした方がよいでしょう。
伊藤忠商事や三菱重工が公式サイトに注意喚起の文章を載せているのは参考になります。

なりすまし詐欺メールも独立行政法人情報処理推進機構のサイトに詳しい対策が書かれているので、参考にして下さい。

これもまた従業員に情報を共有し、かつ、理解させることで、取締役は偽メール対策は十分に行ったと言えるようになります。

まとめ

偽メール対策は、従業員個人任せにして良い問題ではなく、会社、取締役が法律上の義務として責任をもって取り組むことが求められます。

ニュースで報じられることも多いので、他社事例が報じられたときが対策を講じるチャンスです。
報道があるたびに、朝礼などで、従業員に注意喚起し、かつ理解させ、自社からの情報漏えいなどが生じないように取り組むことをオススメします。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。