セキュリティをゆる~く学ぶ!「茂礼手課長のNO MOREな一日」第7回 ~BEC詐欺編~
『布施木君、なんか海外の取引先から支払の督促が届いたぞ』
茂礼手課長と呼ばれている。なにかとやらかしては、布施木君に注意される。
布施木君と呼ばれている。なんだかんだと茂礼手課長をサポート。
■ある日のオフィスにて
(パソコンを見ながら)内容はもっともらしいけど、金額が大きすぎるし差出人のアドレス間違えるなんて怪しいですよ。
課長は「BEC詐欺」って知っていますか?
■組織の担当者を狙った「ビジネスメール詐欺」に注意
茂礼手課長は被害に遭うことはなかったようですが、企業の経理、財務担当者などをだまし、攻撃者が用意した口座に不正に送金させる詐欺は「ビジネスメール詐欺(BEC:Business E-mail Compromise)」と呼ばれます。
独立行政法人 情報処理推進機構(IPA)では、ビジネスメール詐欺を「ソーシャルエンジニアリングの手法を応用したメールなどを組織・企業に送り付け、従業員を騙して送金取引に係る資金を詐取するといった、直接的に金銭を狙うサイバー攻撃」と定義しており、サイバー情報共有イニシアティブ(J-CSIP)のレポート「ビジネスメール詐欺『BEC』に関する事例と注意喚起」の中で、FBIによる統計として、2013年10月から2016年6月におけるBEC詐欺の被害額が約31億ドルにのぼることを明らかにしました。
最近では、2017年12月にJALがビジネスメール詐欺の攻撃を受け、約3億8千万円もの被害に遭ったことが報じられたことは記憶に新しいところです。
上述したレポートでは、ビジネスメール詐欺の手口として大きく5つのタイプを示しています。
(1)取引先との請求書の偽装
(2)経営者等へのなりすまし
(3)窃取メールアカウントの悪用
(4)社外の権威ある第三者へのなりすまし
(5)詐欺の準備行為と思われる情報の詐取
(5)のように、詐欺行為の準備として、企業内の従業員など情報が狙われたり、情報を窃取するウイルスが悪用される場合があります。そして、取引先などとの間で交わされた実際のメールが盗み見られ、文面やメールを送るタイミングなどを“カスタマイズ”し、標的となった社員に不審に思われないような細工がなされるのです。
このように、ソーシャルエンジニアリングの手口が用いられ、いつ、組織内のどの社員が攻撃の標的となるかわからないのがBECの恐ろしいところです。被害を未然に防ぐには、送金前に、取引先との間でメール以外の方法で確認することが推奨されます。メール文面の中で、普段とは異なる言い回しや表現の誤りがないか、細心の注意を払うとともに、不審なメールなどの情報を組織内で集約、共有し、取引先との間でも情報共有することが重要です。
また、「ソフトウェアアップデートで最新の状態を保つ」「アンチウイルスソフトを有効にする」といった基本的なウイルス対策を行うことや、パスワードの設定を見直し、「強い」パスワードにするとともに、同じパスワードを使い回さないという不正アクセスの対策も有効です。
基本的なウイルス対策や、ID・パスワードの設定方法などについては、以下の「セキュリティ7つの習慣・20の事例」も参照してください。
・習慣1「ソフトウェアアップデートで最新の状態にしましょう」
・習慣2「アンチウイルスソフトを有効にしましょう」
・習慣3「ID・パスワードを強くしましょう」
・習慣4「知らない人からのメール・LINE、チャットに注意しましょう」
・習慣7「万が一、何か起きたときは早めに連絡、早めに相談しましょう」
キットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。