【要警戒】私立学校にフィッシング詐欺らしきメールが届いた件

jimmy

この記事は以下のような人を対象としています。
・「最近、フィッシング詐欺が流行っているみたいだけど、私立学校も関係あるのかな」と思っている人

最近、一段とフィッシング詐欺に関するニュースを見かけるようになった気がします。

証券会社では、勝手に株を買われるという被害があり、その原因がフィッシング詐欺メールによるものではという旨の報道もあったと記憶しています。

そんな中、先日ついに私の勤め先である学校アカウントのメールアドレスにそれらしきものが届いたのです。

詳細は後述しますが、見れば見るほど普通のメールで、もし仮に個人あてに届いていたら被害にあってしまうのではないかと思えるような内容でした。

そこで、折角このようなメールが届いたので、注意喚起の意味も込めて内容を紹介しようと思った次第です。

私立学校にお勤めの皆さまの参考になれば幸いです。

【こんなメールに注意】学校に届いたフィッシング詐欺メールの詳細
【開くな、押すな】詐欺メールらしきものが届いた時の対処法
まとめ

【こんなメールに注意】学校に届いたフィッシング詐欺メールの詳細

早速ですが、届いたメールの内容から一部修正したものを以下に記載します。

同日に2通届いたので、2通とも掲載します。

＜1通目＞

【■■■■■会員様】ポイント統合に伴う緊急移行手続きのお知らせ

■■■■■■■■様

日頃より■■■■サービスをご利用いただきまして、厚くお礼申し上げます。

お客様がお持ちの■■■■■■ポイント（29,803ポイント）は有効期限を迎えます。

期限内に■■■■■へのポイント移行手続きを完了してください。

▼ 今すぐポイント移行手続きを行う（公式）

https:// ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

安全なご利用を願っております。

───────────────────────────

※期限経過後のポイント復旧は不可能です。

【連絡先】

■■■■■■■■■■■■■■■

電話番号：■■■■■■■■■（受付：平日9時～17時）

東京都■■■■■■■■■■■■■■■■■■■

※このメールは送信専用のため、返信には対応できません。

＜2通目＞

■■■■■会員様特別優待キャンペーンのご案内

■■■■■■■ 様

平素は■■■■■カードをご利用いただきまして、誠にありがとうございます。

今回は、■■■■■カードをご愛顧いただいております会員様への感謝の意を込めまして、特別なキャンペーンを実施させていただきます。以下の特典内容をご覧いただき、この機会をぜひご活用ください。

─────────────────────────────────

【特典内容】

・年会費が永久無料になります。

・最大15,000円のキャッシュバックを翌月明細に自動反映いたします。

・■■■■■■■■■■■■の特別ペアチケットを限定配布いたします。

【お申し込み方法】

以下のリンクをクリックして■■■■■にログインし、簡単なお申し込み手続きを完了してください。

お申し込み専用リンク: ■■■■■■■■■■■■■■■■■■■■■■

─────────────────────────────────

【ご注意事項】

・本キャンペーンは限定数量のため、早めのお申し込みをおすすめいたします。

・キャッシュバック特典は翌月カード明細に自動で反映されます。

・■■■■■■■■■■■のチケット発送予定は2025年6月上旬となります。

引き続き、■■■■■カードをご愛顧いただけますようお願い申し上げます。

株式会社■■■■■■■■■

【お問い合わせ】

ご不明点等ございましたら、■■■■■カードのカスタマーサポートまでお気軽にお問い合わせください。

本メールは送信専用アドレスから配信されています。返信はできませんのでご了承ください。

※特別情報: ご利用状況に応じた特典です

どちらも、実在するクレジットカード会社の名前やサービス名が記載されており、メールアドレスは両方とも「inquiry@■■■■.com」となっていました。

私が「このメール何かおかしい」と感じたのは以下の3点からでした。

上述のメールアドレスの「■■■■」の部分が、意味の分からないアルファベットの羅列になっている。
私の勤め先の学校では該当するクレジットカードやポイントサービスを利用していない。
2通目の方は、メールの表題で「card」の綴りが「crad」になっていた。

こうした点に気づき、事なきを得ることができました。

しかし、実際に利用している個人に同様のメールが届いたとすると、そのままメールに記載のURLをクリックしてしまいそうな内容になっているという印象を受けます。

jimmy

ちなみに私は1通目のメールに記載されているサービスを利用しています。
自分にこのメールが届いたらと思うと、不安を覚えました。

加えて、私が「巧妙だな」と感じたのが以下の３つポイントです。

1通目のメールに記載された「連絡先」を検索すると、有名な某カード会社のサイトが結果に表示される。
記載された数字も「29,803ポイント」や「15,000円」など、ちょっとありそうな値に設定されている。
「緊急」や「特別」、「限定数量」などこちらの気持ちを煽るような文言が使われている。

なお、このメールが届いたメールアドレスは一般には公開しておらず、取引先等と事務室がやり取りするために使用しているものです。

以上が、私の勤め先に届いたメールの概要となります。

【開くな、押すな】詐欺メールらしきものが届いた時の対処法

一応、私は「情報セキュリティマネジメント試験」というものに合格しています。

情報セキュリティに関する最低限の知識を身につけておくという観点からは、難易度も高くなくおすすめです。

そんな私から、こうした詐欺メールのようなものが職場に届いた際の対処法をお伝えしたいと思います。
と言いましても、結局ニュース等で言われているような対処法くらいしか、個人ができるものはない、というのが正直なところです。

jimmy

その対処法とは「怪しいメールは開かない、開いても記載されたURLをクリックしない」ということです。

今回、私の勤め先に届いたメールも、本当は開かない方が安全です。

ただ、「私立学校アカウントのメールにもこんなメールが来るんですよ」という注意喚起をしたかったので、開封した次第です。

もちろん、開封前にあらゆる情報を確認して「これは開くだけなら問題ないものだ」というある程度の確信を持ったうえで行っております。

ですので、「基本は開かない」、開いたとしても「記載されたURLはクリックしない」
とにかくこのことを徹底すること。

また、学校アカウントのメールを複数の人が見ることができるようにしている場合は、他の方にもすぐに周知するようにした方がいいです。
まずは、被害が発生しないようにすることを優先しましょう。

jimmy

ちなみに私の以前の勤め先では、情報設備等の運用・管理を担当する部署が教職員に対し、ランダムに迷惑メール的なものを送信し、それを開封した人は後日研修を受けるということを実施していました。
役職の高い人が開封してしまい、研修を受けていたといううわさもありましたが。

別の記事でも紹介しましたが「確実にこなさないといけないプレーを確実にこなせるチームが強い」という言葉が、情報セキュリティの面でもあてはまると思いますので、皆さんもこの言葉を意識してみることをおすすめします。

まとめ

「学校だから怪しいメールが来ない」ということはない。
怪しいメールはとにかく開かず、周りに連絡。そして開いてもURLはクリックしない。
情報共有で、チームとしての情報リテラシーをアップする

皆さんの勤め先にも、いつ詐欺メール等が届くかわかりません。
もうすでに届いたところもあるのではないでしょうか。

そうした対策として、資金に余裕がある学校であれば、お金をかけて機器やセキュリティサービスなどを導入することができるかもしれませんが、私の今の勤め先のような小規模校では、対応は困難です。

また、手口も日々巧妙化している様子ですので、ソフトやハード面からの対応はキリがないと思っています。

最終的には「人」の問題というのが、私の意見です。
いかに日頃から、情報セキュリティに対する意識を高められるかがポイントです。

個人レベルで資格取得などで知識を身につけ、それをどこかの機会で仲間にアウトプットする。

そういった仕組みを構築できれば、個人としても組織としてもリスク管理力の向上を図ることができると考えています。

最後までお読みいただきありがとうございました。