うっかりの科学

QRコードを介したフィッシング。メール内のリンクはAI検知されますが、画像内のQRは検知を回避しやすいのです。

謝罪費用、ブランドイメージ失墜、法的罰則。たった一つの「うっかり」が会社を潰すトリガーになります。

• 見積書_最新.xlsx (実は半年前の価格)
• 見積書_提出用.xlsx (実は他社の流用)
• 社外秘_ドラフト.pdf (実は削除し忘れた内部告発メモ)

ファイルを「一度も開かずに」添付して送信する行為は、目隠しで車を運転するのと同じです。

メールは「封筒」ではなく「ハガキ」です。経路上の第三者が読み取ることができます。

BEC (ビジネスメール詐欺)。取引先のアカウントを乗っ取った犯人が、請求書の振込先口座を変更するメールを送信。担当者は「いつもの相手」だと信じて振り込んでしまった実例。

「鍵マークがあるから安心」は20年前の常識です。現在のフィッシングサイトの80%以上がSSL（暗号化）されており、鍵マークが表示されます。

多くのメーラー（特にスマホ）は、長いアドレスを隠し、分かりやすい「表示名」だけを目立たせます。犯人はこれを利用して、信頼できる機関を装います。

個人の意識だけでなく、システムで守る必要があります。

• SPF/DKIM/DMARC: メールの「なりすまし」を防ぐための送信ドメイン認証。
• 外部受信ラベル: 社外からのメールに「【外部】」と自動で付与し、注意を促す。
• 隔離機能: 疑わしいメールをユーザーに届く前に自動でブロックする。

送信ボタンを押す前のチェックリスト：

「会社のストレージは遅いから個人のDropboxで……」これがシャドーITです。情シスが把握していない場所にあるデータは、守ることができません。退職者がデータを持ち出す最大のルートでもあります。

「リンクを知っている全員」に公開＝全世界に公開、と同じです。URLさえ教えなければいい、と思っていませんか？ 検索エンジンはそれを見つけ出します。

Googleで「filetype:pdf "社外秘" "議事録"」と検索してみてください。設定ミスで公開されている、おびただしい数の機密資料がヒットします。ハッカーも同じ方法であなたを狙っています。

エンジニアだけでなく、非エンジニアも注意が必要です。共有ドキュメントやスクリプトの中に、クラウド操作用の「鍵（APIキー）」を貼り付けたまま共有していませんか？ それ一つで、会社のクラウド基盤が完全に乗っ取られる可能性があります。

昔は「社内LAN」が守ってくれましたが、今は「ログインID」が会社の入り口です。

犯人は深夜に大量の通知を送り、被害者が「うるさいから一回承認して止めよう」という心理を突きます。これがMFA疲労攻撃です。身に覚えのない通知は、絶対に拒否してください。

辞めた社員のアカウントが生きていませんか？

• 元社員が競合他社に転職し、以前の共有フォルダを見ている。
• 退職者のパスワードを犯人が乗っ取り、内部から攻撃。

アカウント管理は、入り口（入社）よりも出口（退職）の徹底が重要です。

コピー＆ペースト。便利ですが、クリップボードの中身を確認していますか？ 前にコピーした「顧客への不満」や「パスワード」を、別の取引先とのチャットに貼り付けて送ってしまう……チャットの速度感が確認を阻害します。

画面共有時は「ウィンドウ指定」を徹底し、通知はオフ。基本中の基本ですが、毎日どこかの会議で漏洩が起きています。

チャットに機密URLを貼ると、ツールが自動的にそのサイトを読みに行き、「タイトル」や「要約」を表示します。この「自動アクセス」により、本来秘密だったWebサイトの存在がツールのサーバー側に記録されたり、外部へ漏れたりすることがあります。

業務効率化のために自作したSlackボットの「トークン」を、公開設定のGitHub等に置いていませんか？

• トークン一つで、全チャット履歴がダウンロード可能
• 内部の人間になりすましてメッセージ送信が可能

ボットの権限は、人間以上に厳密に管理すべき「特権ID」です。

チャットアプリを入れた個人のスマホを居酒屋に忘れたら？ パスコードがかかっていない、あるいは推測しやすいものだったら、それは「会社の機密情報へのマスターキー」を紛失したのと同じです。紛失時の連絡フローを確認していますか？

画像に含まれる「アイコン」「名前」「時間」「背景の情報」は、想像以上に多くの情報を語ります。スクショ自体がリスク資産です。

プロジェクトが終了して3年。いまだに「元協力会社の担当者」がメンバー一覧にいませんか？ 彼は今、競合他社で働いているかもしれません。定期的なメンバー整理を行わない組織は、情報の垂れ流し状態です。

セキュリティ対策とは、脳に無理やり「システム2」を起動させる儀式です。

「このメールは本物だ」と思い込むと、アドレスの不自然な「.」や、日本語の違和感が目に入らなくなります。脳が勝手に「正しい」と補正してしまうのです。

「共有先」の候補が200人出てくるプルダウンメニュー。人は選択肢が多すぎると、判断を誤る確率が劇的に上がります。これがヒックスの法則です。

極度のプレッシャーを感じると、人間の視野は物理的・心理的に狭くなり（トンネル視界）、普段なら気づくはずの明らかな矛盾を無視して突っ込んでしまいます。犯人はあなたの「パニック」を設計しています。

「他の人もこのツールを使っているから」「あの部長も許可しているから」。他人の行動を正しい判断基準としてしまう心理。これこそがシャドーITや、ルール違反の常態化を引き起こす原因です。セキュリティは「多数決」ではありません。

製造現場の「ポカヨケ」をITに応用します。

• 宛先ドメイン強制確認: 社外ドメインを含む場合、ポップアップで確認させる。
• ファイル自動パスワード化: 人に頼らず、システムで強制的に暗号化・リンク化する。
• 送信遅延: 送信ボタンを押してから5分間は取り消し可能にする。

研修の翌日には、学んだことの70%を忘れます。意識を維持するには「年に1回の教育」ではなく、「日常に溶け込んだ仕組み（壁紙、ステッカー、チャットボットによる定期的な注意喚起）」が必要です。

ミスを報告して怒鳴られる組織。そこではミスは隠蔽され、手遅れになるまで増殖します。ミスをした瞬間に「あ、やってしまった。すぐ報告しよう」と思える関係性こそが、数億円の被害を数万円で食い止める唯一の鍵です。

個人の責任を追及するのではなく、そのミスを可能にしてしまった「プロセスの欠陥」を探します。報告者を責めない (Blame-Free) 文化が、組織の自己修復能力を最大化します。

パニック時にゼロから文章を考えるのは無理です。あらかじめ「報告テンプレ」を用意しておきましょう。

情シスだけでなく、各部署に「セキュリティに詳しい人」を配置します。

• 部署特有の「うっかり」ポイントを一番よく知っている。
• 「これ、怪しいですか？」と気軽に相談できる窓口になる。
• 現場の声を吸い上げ、使いにくいルールを改善する。

ミスを分析する手法：

1. なぜ誤送信した？ → 宛先を間違えたから
2. なぜ間違えた？ → 候補から適当に選んだから
3. なぜ適当に選んだ？ → 急いでいたから
4. なぜ急いでいた？ → 18時ちょうどの便に載せたかったから
5. なぜ18時だった？ → 締め切りがその時間に集中していたから (根本原因)

個人の注意ではなく、締め切りの分散こそが対策になります。

ルールが多すぎると、人は守ることを諦めます。形骸化したルールを捨て、本当に守るべき「コアな数個」に絞り込む勇気が、組織のセキュリティ強度を高めます。