あるVPがフィッシングメールを転送してきて、それが本物かどうか尋ねてきました。 メールには「あなたのMicrosoftアカウントが侵害されました」と書かれていました。本人確認はこちらをクリックしてください。」 リンクは「micros0ft-secure-login(dot)net」に繋がっていました(Oの代わりにゼロが使われているのに注目してください)。 私はこう答えました。「これはドメインスプーフィングを用いた高度なスピアフィッシングの試みです。この件をセキュリティオペレーションチームに報告し、脅威分析を依頼しました。メールを削除し、リンクはクリックしないでください。」 セキュリティオペレーションチームは存在しません。私だけです。 しかし、そのメールをMicrosoftのフィッシング報告のアドレスに転送し、チケットシステムで処理済みとマークし、「第1四半期のフィッシング活動の増加」について全社でリマインダーを送りました。 副社長は「警戒心」と「迅速な対応」に感謝の返信をくれました。 全てで3分で終わりました。 しかし「高度」や「脅威分析」といった表現を使うことで、私は単純なフィッシングメールをほぼ危機にまで発展させ、それを英雄的に傍受しました。 セキュリティは問題を防ぐことではありません。みんなに自分が防いだって知ってもらうことが大事なんだ。