🔸「攻撃メールは100%見分けるのは不可能」は本当か?
標的型攻撃メールやフィッシングメールについて語るとき、
「攻撃メールを100%見分けるのは不可能に近い」という言葉をよく耳にします。
確かにこれは、事実に基づいた警告です。
近年の攻撃は巧妙化しており、一見して区別できないメールも存在します。
しかし、ここで気をつけたいのは、
この言葉を「どうせ見分けられないんだから考えるだけムダ」と
短絡的に受け止めてしまうことです。
🔸本当に見分け不可能だったメールの事例
実際に、「これは見分けるのが難しい」と言わざるを得ないメールは存在します。
✅【事例1】返信メールに偽装されたBEC(ビジネスメール詐欺)
ある企業では、取引先との実際のメールの返信スレッドに見せかけたメールが届きました。
メール本文には自然なやりとりが含まれ、件名も既存のやりとりの続き。
しかも添付ファイルは過去に使われた請求書に酷似。
このようなケースでは、受信者が**「なりすまし」と気づくことは非常に困難**です。
✅【事例2】添付ファイルのマクロが非悪性コードに見せかけられていた例
一部の攻撃では、添付のExcelファイルのマクロが、**一見無害な処理(セル書式変更など)**に見せかけて、実際にはPowerShellを起動して外部と通信するようなスクリプトを含んでいました。
ウイルス対策ソフトでも見逃され、技術者でも開いてコードを解析しなければ分からないレベルの内容でした。
✅【事例3】リンク先に正規のサイトのURLが使われていた例
ある攻撃では、メール内に記載されていたリンク先のURLに、見知らぬドメイン名のサイトではなく、正規のサイトのURLが使われていました。
DNSポイズニング攻撃や水飲み場攻撃により、正規のサイトのURLが悪用されてしまうことはあり得ます。さすがに正規のサイトが悪用されてしまっていたら、気づきようがありません。
🔸見分けが難しい ≠ 見分けられない
確かに上記のような事例は存在しますが、それでもすべての攻撃メールが見分け不可能なわけではありません。
例えば、
- 明らかにドメインが偽装されている
- メールに記載のURLと実際のURLが異なっている
- 表現が不自然な日本語
- 差出人名とアドレスが一致しない
- URLに見慣れないドメインが使われている
- 普段の業務では目にしたことがない内容である
- リンク先に正規のサイトのURLが使われていない
こういった典型的な特徴を持つ攻撃メールも依然として多く存在しており、
注意深く見れば防げるものも少なくありません。
どちらかといえば、よく見れば防げるものがほとんどで、見分けることが本当に不可能なものはごく希にしか見ないというのが実際でしょう。
ごく希にしかないケースを挙げて、「攻撃メールを見分けることは不可能」と断定し、「見分けられないのに訓練をやって見分けさせようとするなど馬鹿げている」と断じるのは間違いです。
🔸言葉を鵜呑みにしてはいけない
同じ「攻撃メールを100%見分けるのは不可能に近い」という言葉でも、
「攻撃メールを(全社員が)100%見分けるのは不可能に近い」と、
「攻撃メールを(個人が)100%見分けるのは不可能に近い」では、意味が大きく異なります。
また、「不可能に近い」というのは「不可能かもしれない」ということであって、「不可能だ」と言っているわけではありません。
こういったことを無視して、言葉通り「攻撃メールを見分けることは不可能」と断定してしまうのもやはり間違いでしょう。
🔸「どうせ見分けられない」は、単なる思考停止
「100%見分けるのは不可能だから、訓練しても無意味」という意見を聞くことがあります。
しかし、この考え方は思考停止に他なりません。
なぜなら…
- 多くの攻撃は訓練により見分けられるようになるものが含まれている
- 難易度の高い攻撃でも、複数の視点でチェックすれば見破れる可能性がある
- 見分けがつかなくても、上長や情報システム部門に相談する行動で被害を未然に防げる
からです。
「完璧に見分けられない」からこそ、人と人との連携や、
普段からの意識付け・訓練が重要なのです。
🔸100%を求めるのではなく、リスクを下げる努力を
攻撃メールは日々進化し、完全に見分けることが難しいケースもあります。
しかし、それを理由に「どうせ無理」と諦めてしまっては、
被害に遭う確率は高くなる一方です。
大切なのは、こうしたリスクをゼロにすることではなく、最小化する努力です。
- 訓練による「気づく力」の向上
- 組織内での相談・報告の文化の醸成
- ツールだけに頼らず、人の目で気づける仕組みづくり
「見分けられない」と諦める前に、まずは「どうすれば気づけるか?」と考えること。
それが、攻撃メールから身を守る第一歩です。
