【IT相談室】再考 これからのSNSと歯科医院②～事例：院内指示メール装うフィッシングメール～

◆手法としては古典的

事 例 ：「社内管理および連絡体制の整備のため、『社員連絡先一覧』の整理・提出を必須対応事項といたします。必ず返信メールにて提出してください。

　　代表取締役　XXX」

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

このようなメールが多数送られてきて困っている、とのご相談を数多く受けております。

類似の事例は、かなり前から確認されており、「フィッシング」という分類になります。相手にアクションを起こさせて、メールアドレスやIDとパスワードなどを入力させるという古典的なタイプの詐欺です。

宅配便の未着や料金の未払いを装って、メールに記載されたリンク先でIDとパスワードを入力させるのが、典型的な手口です。相手から必要な諸情報を巧みに「釣り上げる」ことから〝フィッシング〟と呼ばれます。

◆危険な新しい手口

今回、例示したメールで新たな手口といえるのは、メール内に実際に在籍している代表取締役の氏名が公開されており、送信先によって別の役員名や職員名に変更されていた点です。

医院のホームページには、院長やスタッフの名前が掲載されているケースが多く、スタッフの中にはＳＮＳなどで勤務先などを公開している方もいると思われます。公開情報を悪用し、さらに不特定多数に同じ発信者名・内容を送るのではなく、送付先によりそれらを変えている点が特徴です。

◆届いたメールの真偽を判別する方法

事例のようなメールの真偽を判別するには、返信先メールアドレスが既知のメールアドレスかを確認します。メールの返信で情報をフィッシングする手法の弱点は、返信先（Reply-to）のメールアドレスを偽装できないことです。

なお、最も単純確実に真偽をチェックするには、メール内に記載されているスタッフ本人に直接確認するのが良いでしょう。

残念ながら、詐欺メールの受信自体を完全に防ぐのは困難です。確実な対策を行い、冷静に対処していただければと思います。