正直、最初に読んだときは他人事だと思った。
スポーツ中継の偽サイトが急増しているという記事で、Malwarebytesというアメリカのセキュリティ会社が、6月の時点で40以上の偽配信サイトを確認したと報告していた。
40以上ってのがすごい。それだけ需要があるってことだろうが、怖い話だ。
うちの息子は大学でスポーツ科学みたいなのをやっていて、サッカーとか野球の中継をスマホでよく見ている。
先週末、その記事を食卓で話のネタに出したら「あ、そういうやつ俺も一回踏んだ」とさらっと言う。
思わず「えっ」と声が出た。
聞けば、試合の無料配信を探していたら怪しいページに飛ばされて、すぐ閉じたからセーフだったと。
ヒヤッとした。息子がセーフだったのは運がよかっただけかもしれない。
記事によると、ああいうサイトは見た目だけそれっぽく作ってあって、実際には試合は流れない。
アクセスした瞬間に「アップデートが必要です」みたいな偽の警告が出て、そこでOKを押すと不正なソフトが端末に入る仕組みだ。
カード情報を入力させる画面が出てくるパターンもあるらしい。
視聴のための「認証」という名目で個人情報を取られる、あれだ。
うちみたいな製造業の零細会社には直接関係ない話のように見えるかもしれない。
だが、社員20人のうち何人かはスマホで中継を見ようとするはずだ。
特に会社のスマホを私用でも使っているスタッフが何人かいる。
困ったもんだが、そこまで細かく縛るルールも作っていなかった。
ぶっちゃけ、うちの会社のIT環境は正直かなり古い。
サーバーはオンプレで、クラウドはなんか怖いと思って手を出していない。
Excelで受発注を管理して、メールで取引先とやりとりする、それだけだ。
その取引先は自動車部品メーカーを中心に十数社ある。
仮に社員のスマホが感染して、そのスマホから会社のメールにアクセスしていたら。
取引先の情報が漏れる可能性がある、ということに気がついた。
それは単なる「データが消えた」じゃない。
長年かけて築いてきた関係を壊しかねない話だ。
Spider Labsが公開した緊急チェックリストは、広告主や代理店向けのものが中心だった。
うちは広告を出している立場でも、代理店でもない。
だから消費者向けの項目だけ息子に見せて、「URLが公式かどうか確認しろ」「アプリのインストールを求められたら絶対に押すな」と伝えた。
それくらいしか今すぐできることがない。
社員への話はどうするか、少し考えた。
朝礼で「怪しいサイトは開くな」と一言言えばいいような気もするが、それだけでは伝わらない気がした。
具体的に「スポーツ中継の無料配信サイトは危ない」と言わないと、何が怪しいのかが分からないはずだ。
製造の現場にいる50代の職人さんたちには、特にその感覚が薄い。
自分だって似たようなもんだ。
3年前、取引先から「この請求書確認してほしい」というメールが来て、添付を開きかけたことがある。
直前に「あれ、このメールのアドレスが微妙に違う」と気づいて止まったが、冷や汗をかいた記憶がある。
あのとき運良く止まれたのは、取引先担当者の名前の漢字が一文字違っていたからだ。
そういう細かい違和感に気づけるかどうかで、全然結果が変わってくる。
今度の月曜の朝礼、少し時間をもらってスクリーンに実際のフィッシング画面の例を見せてみようと思っている。
どこが怪しいか、みんなで確認する。
話すだけより、目で見た方が残る。
スポーツ中継の偽サイトが急増しているという記事で、Malwarebytesというアメリカのセキュリティ会社が、6月の時点で40以上の偽配信サイトを確認したと報告していた。
40以上ってのがすごい。それだけ需要があるってことだろうが、怖い話だ。
息子に聞いたら「あ、知ってる」だって
うちの息子は大学でスポーツ科学みたいなのをやっていて、サッカーとか野球の中継をスマホでよく見ている。
先週末、その記事を食卓で話のネタに出したら「あ、そういうやつ俺も一回踏んだ」とさらっと言う。
思わず「えっ」と声が出た。
聞けば、試合の無料配信を探していたら怪しいページに飛ばされて、すぐ閉じたからセーフだったと。
ヒヤッとした。息子がセーフだったのは運がよかっただけかもしれない。
記事によると、ああいうサイトは見た目だけそれっぽく作ってあって、実際には試合は流れない。
アクセスした瞬間に「アップデートが必要です」みたいな偽の警告が出て、そこでOKを押すと不正なソフトが端末に入る仕組みだ。
カード情報を入力させる画面が出てくるパターンもあるらしい。
視聴のための「認証」という名目で個人情報を取られる、あれだ。
うちみたいな製造業の零細会社には直接関係ない話のように見えるかもしれない。
だが、社員20人のうち何人かはスマホで中継を見ようとするはずだ。
特に会社のスマホを私用でも使っているスタッフが何人かいる。
困ったもんだが、そこまで細かく縛るルールも作っていなかった。
「会社のデータが消えた」では済まない
ぶっちゃけ、うちの会社のIT環境は正直かなり古い。
サーバーはオンプレで、クラウドはなんか怖いと思って手を出していない。
Excelで受発注を管理して、メールで取引先とやりとりする、それだけだ。
その取引先は自動車部品メーカーを中心に十数社ある。
仮に社員のスマホが感染して、そのスマホから会社のメールにアクセスしていたら。
取引先の情報が漏れる可能性がある、ということに気がついた。
それは単なる「データが消えた」じゃない。
長年かけて築いてきた関係を壊しかねない話だ。
Spider Labsが公開した緊急チェックリストは、広告主や代理店向けのものが中心だった。
うちは広告を出している立場でも、代理店でもない。
だから消費者向けの項目だけ息子に見せて、「URLが公式かどうか確認しろ」「アプリのインストールを求められたら絶対に押すな」と伝えた。
それくらいしか今すぐできることがない。
社員への話はどうするか、少し考えた。
朝礼で「怪しいサイトは開くな」と一言言えばいいような気もするが、それだけでは伝わらない気がした。
具体的に「スポーツ中継の無料配信サイトは危ない」と言わないと、何が怪しいのかが分からないはずだ。
製造の現場にいる50代の職人さんたちには、特にその感覚が薄い。
自分だって似たようなもんだ。
3年前、取引先から「この請求書確認してほしい」というメールが来て、添付を開きかけたことがある。
直前に「あれ、このメールのアドレスが微妙に違う」と気づいて止まったが、冷や汗をかいた記憶がある。
あのとき運良く止まれたのは、取引先担当者の名前の漢字が一文字違っていたからだ。
そういう細かい違和感に気づけるかどうかで、全然結果が変わってくる。
今度の月曜の朝礼、少し時間をもらってスクリーンに実際のフィッシング画面の例を見せてみようと思っている。
どこが怪しいか、みんなで確認する。
話すだけより、目で見た方が残る。