楽天でソーシャルエンジニアリングによる従業員情報の詐取があったらしい。
イマドキ!?と思うかもしれないが、数年前はビジネスメール詐欺でJALが多額の損失を被っている。
ちなみに楽天は電話によるソーシャルエンジニアリングだったらしい。
今回面白い(と言うと若干失礼だが)点が2つある。
1.世に露呈した発端が西日本新聞の「あなたの特命取材班」への情報提供であった点
2.英語による電話だったことと、楽天の公用語が英語だったことから変に盛り上がってしまっている点。
1点目はマスコミって個人的にはオワコンと思っていたが、価値があることを再認識したという点では面白かった。
インターネットが普及して、情報のリークなんて誰でも簡単に出来るが、情報が溢れすぎていて貴重な情報が埋もれてしまうという課題がある。
その点、(正確性については意見が分かれるが)マスコミのほうがまだまだ情報発信力があるのだなと感じた。
2点目は、楽天は英語が公用語であることを知っている人たちが「楽天は英語が公用語なのになに詐欺に引っかかちゃってんの~」的な感じで盛り上がっている点である。
ま、正直日本語であれば引っかかる可能性が低いのは何となく同感である。
しかし、下記の経緯を読んでみると、なかなか巧妙で、そんなに気軽に楽天を馬鹿にする気にはなれない。
最終的に誰かが社外(西日本新聞)に漏洩してしまった点は残念で仕方ないが、
応対した従業員が別部門に相談した点はむしろ評価すべきのような気がする。
-経緯ここから-
楽天のグループ会社の代表電話番号に役員を名乗る人物から英語で電話があり「出張先でパソコンの調子が悪く社内ネットワークに接続できないため、指定する従業員のメールアドレスを教えてほしい」と連絡が入ったという。
役員を名乗る人物は、社内システムから従業員の個人情報を抽出する方法を指示。
説明内容が具体的だったため、電話を受けた従業員は役員本人だと思い込んでしまったとしている。
抽出した情報はファイルにまとめ、偽役員が指定した社外のメールアドレスに送信。
同じような連絡が複数回あった。
応対した従業員が別部門に相談したことで、虚偽の指示と判明したという。
-経緯ここまで-
再発防止策としては、英語だからと言ってひるまずに、
1.関係者を名乗る人物から連絡が来たら一旦電話を切って折り返す。
2.社外のメールアドレスには従業員情報を送信しない
を徹底するしかないと思う。
とはいえ、役員対応は誤ると後で面倒なことになるので、杓子定規な対応をするわけにもいかないんだよな。
2.は事前に三木谷さんあたりから役員に周知徹底してもらうくらいしかないんじゃないかな。この辺はオーナー企業であればすんなりできるかも。
むしろ集団指導体制と言うか、ガバナンスがイマイチの企業だと大変かもしれない。
【関連記事】
・楽天、英語電話にダマされ偽役員にデータ漏えい「公用語なのに」
・楽天、偽役員にデータ漏えい 従業員の氏名や役職…英語電話にだまされ