メディア

2018年、セキュリティの穴は「人」や「プロセス」にあるセキュリティ最初の一歩(2/2 ページ)

» 2018年01月11日 10時00分 公開
[キーマンズネット]
前のページへ 1|2       

JALが約3億8000万円をだまし取られた「ビジネスメール詐欺」の手口

 2016年の年末、多くのセキュリティベンダーが「2017年に注意すべきは『ビジネスメール詐欺(Business Email Compromise:BEC)』」との予測を出していた。実際に世界では被害が拡大していたが、国内では「対岸の火事」と考えていた企業も多いのではないだろうか。2017年12月に日本航空(JAL)が約3億8000万円をだまし取られたことが報道されるまでは。

 BECの手口は、通常の業務でやりとりされるメールを何らかの方法で入手し、なりすましメールで偽の送金指示を送る。JALの場合、海外の金融会社からリースしている旅客機のリース料について、支払先担当者からのメールを装って偽口座への振り込みを誘導された。JALによれば、取引先のメールアドレスと名前が一致していたことと、直前に届いた正規の請求書の「訂正」メールだったことで信じてしまったという。

 また、報道によれば、訂正メールに添付されていた請求書PDFは、正規のものと同じフォーマットであり、担当者のサインも似せて書かれていたという。しかも、リース料の振り込みは3カ月ごとに行われる作業であったにもかかわらず、ドンピシャのタイミングで訂正メールをかぶせてきたのだ。

 トレンドマイクロによれば、BECの種類は幾つかある。その中でも企業の最高責任者のメールをかたり、財務担当者に振り込み指示を行う「CEO詐欺メール」に注意したい。同社の調べによれば、2017年1〜11月の間に国内法人では11件しか見つかっていないCEO詐欺メールだが、全世界で見れば8600件以上が確認されている。

CEO詐欺メールの確認数 図2 CEO詐欺メールの確認数(2017年1〜11月)(出典:トレンドマイクロ)

 トレンドマイクロでは2017年に発生したサイバー攻撃を踏まえ、「『システム』の脆弱性に加えて、リスク認識や業務・システムの運用プロセスの隙といった『人』や『プロセス』の脆弱性が要因となり多くの企業で被害が確認された」と総括する。今後も引き続きシステムを守ることは重要だが、従業員教育、組織体制や業務プロセスの見直しを行い、「人」や「プロセス」に潜むセキュリティの落とし穴をふさがなければならないだろう。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。