ビジネス詐欺メール(BEC)の手口:セキュリティ強化塾(3/3 ページ)
1通のメールで3億円超をだましとられる事件が国内企業でも発生した。「ビジネス詐欺メール」はもはや対岸の火事ではない。
ビジネスメール詐欺の対策は?
では、BECへの対策として考えなければならないのは何か。残念ながら、「人」という脆弱性を突く攻撃である以上、ITの仕組みだけでは守れない。システムと人、両面での対策が必須だ。
まずは、システム側の対策から考えよう。攻撃の最初のステップは「偵察」である。これを食い止め、内部情報を探らせないことが最初の対策となる。幸いなことに、これは既存のマルウェア対策や標的型攻撃対策と同様で、社内のエンドポイントにID/パスワードを盗むようなマルウェア「キーロガー」が仕込まれないようにすることや、メールのログイン画面を模した「フィッシング」への対策が、これまで以上に重要になる。
特に、業務で使うメールをG SuiteやOffice 365などのクラウドサービスに切り替えているのであれば、入出金に関わる作業を行う従業員だけでもワンタイムパスワードなどを利用した「多要素認証」を取り入れたい。万が一、パスワードが流出した場合でも、ある程度の強度でメールを守ることが可能になる。今後、BECを検出できる迷惑メールフィルターも登場すると思われるが、今すぐにできることとして、まずはアカウントを守ることを考えたい。
次に「人」への対策だが、BECの最終ステップは「振り込み処理を乗っ取ること」である以上、このプロセスを見直し、教育を実施することが重要だ。特に振込処理を行う際の社内ポリシーや承認プロセスを再整理し、関係する従業員にしっかりと周知したい。例えば、急に振込先の変更が行われた時には、メールの文面だけで承諾するのではなく、実際に先方の担当者に電話などで確認するといった作業を追加する必要があるかもしれない。
最後に、何よりも重要な対策は、従業員全員が「ビジネスメール詐欺の存在を知ること」だ。実際に入出金に関わる部門だけでなく、送金を依頼する側となる従業員にも啓発を行うことで、「人」という脆弱性は少なくなっていく。そして、可能であれば多要素認証は業務でメールを使う可能性がある従業員全員に導入すべきだ。
大企業ですらだまされたという事例を踏まえ、「いつ自社がターゲットにされるか分からない」と身構え、少しでも不審なポイントがあれば適切な部署に報告するという体制作りを忘れないようにしたい。もしも、そのような報告先が不明になっているのであれば、真っ先に取り組むべきはこれだろう。
BECは攻撃者視点に立てば「とても効率よく」数億円、数十億円をだまし取れる手法だ。それ故に、多くの企業が2018年にはしっかりと対策を構築しなければならないサイバー攻撃になるだろう。守る側にとっては、IT、人、組織といった全ての対策をバランスよく行う必要があり、セキュリティ対策への本気度も明らかになってしまうものだ。被害を想定した対策をしっかりと実施したい。
Copyright © ITmedia, Inc. All Rights Reserved.