メディア

「人材不足」は、情報セキュリティの10大脅威か?セキュリティ強化塾(2/4 ページ)

» 2018年02月20日 10時00分 公開
[キーマンズネット]

「ビジネスメール詐欺」が現場を襲う

 第3位には、「ビジネスメール詐欺」(Business E-mail Compromise:BEC)がランクインした。前回も取り上げた通り、とうとう日本においても巨額な被害をもたらす事件が明るみに出ている。

 ビジネスメール詐欺は、巧妙に細工をしたメールのやりとりを通じて企業の担当者を欺き、最終的には企業の資金振込タイミングをピンポイントで狙い、犯罪者が用意した口座に送金させるという詐欺だ。これまでは海外での被害例が多く報告されていたが、日本では2017年12月に日本航空が計3億8000万円もの被害を受けたことが明らかになり、注目が集まっている。

 ではビジネスメール詐欺を、どのように防げばよいのだろうか。詐欺と聞けば、真っ先に思い浮かぶ対策は「だまされないように気を付ける」ということだろうか。だが、日本航空のような大企業ですら、まんまとだまされてしまった事実を踏まえると、気を付ける程度では、この攻撃を完全に防ぐことはできないと考えるべきだ。

 例えば、トレンドマイクロの調査によれば、ビジネスメール詐欺で実際に送られるメール本文は緊急性をアピールするだけでなく、送信者の名前も所属も役職も間違えずに記載されている。なりすましを見抜く「唯一」のヒントになりそうなのは、差出人のメールアドレス欄となるが、ここもそれらしく偽装されている。通常の業務においてビジネス詐欺メールだと見抜くことは、どんなに訓練を積んだとしても100%の対策にはなり得ない。

 なぜ、犯人は送信者の役職や、そもそもターゲット企業が「送金する」という事実を知っているのだろうか。実は、この詐欺に使われるメールの送信は、攻撃の「総仕上げ部分」であり、これが送付できている時点で攻撃はほとんど完了段階にある。故に企業は、そこに対して防御網をはるのではなく、もっと早い段階で敵を検知しなければならない。

 ビジネスメール詐欺の最初の攻撃ステップは、企業内への「侵入」だとされている。企業の中にはメールサービスをGmailやOutlookなどのクラウドサービスに移行しているところもある。詐欺を行う者は、メールサービスの「ログイン画面」を狙い、そっくりに似せたフィッシングサイトを構築したり、標的端末のキー入力を盗むキーロガーに感染させたりして、メールの内容を盗み見る。これによる、送金タイミングや社内の組織構造を知るのだ。

 ビジネスメール詐欺対策では、メールボックスを盗み見させないことが重要だ。キーロガー対策は、従来通りのマルウェア対策をしっかりと行うことだ。フィッシングサイトにだまされないためには、URLのレピュテーションを行うフィルタリングサービスを利用すべきだろう。そして、多額の資金を操作する可能性がある社員や経営者は、「メールログイン時の二要素認証利用」を徹底することだ。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。