新たな脅威「ビジネスメール詐欺(BEC)」とは?情報セキュリティの深層(2/2 ページ)

» 2017年09月13日 08時00分 公開
前のページへ 1|2       

BECの被害状況

 BECでは、ランサムウェアや標的型サイバー攻撃のような、不正プログラムの改変や脆弱(ぜいじゃく)性の悪用といった技術的なスキルよりも、企業をだますためのソーシャルエンジニアリングのスキルが求められます。こうしたソーシャルエンジニアリングの攻撃を受け、世界各地の企業がBECの被害に遭っています。米国連邦捜査局(FBI)によると、2013年10月から2016年12月の約3年間で、既に全世界で4万件以上の被害が発生し、被害総額は50億米ドル(約5500億円)以上に及んでいることが分かっています。その脅威が、国内の企業にも忍び寄ってきています。実際、トレンドマイクロが実施した調査の結果、2016年には全世界92カ国の企業がBEC関連のなりすましメールを受信しており、その標的組織数の国別割合を見てみると、日本は2.75%を占め上位5位に入っていることが分かっています(図2参照)。

図2:BEC関連のなりすましメールを受信した法人組織数毎の国別マップ(2016年) 図2:BEC関連のなりすましメールを受信した法人組織数毎の国別マップ(2016年)

 日本企業でも被害が発生していることが確認されており、今後ますますBECの脅威が国内に拡大することが予測されます。主にメールによる連絡手段で海外の企業とビジネスを行っている日本企業は、特にBECに対する注意が必要です。

BECへの対策で重要なポイント

 BECの攻撃では、フィッシングメール、キーロガーといった不正プログラムが用いられるだけでなく、ソーシャルエンジニアリングの手口も多用されます。そのため、BEC対策では、セキュリティ製品による技術的対策だけでなく、組織的対策も重要となってきます。

組織的対策

  • 送金処理に関する社内整備

 BECによる不正な送金依頼は高額である場合が多いため、高額送金の決裁処理に関するポリシーや手順を整理し、従業員に徹底することが必要です。

  • 従業員に対する教育

 BECは標的企業の幹部や従業員をだまし、送金処理を実施させるサイバー犯罪であり、最終的に従業員が狙われる脅威です。そのため、従業員のBECについての理解が必要です。従業員が送金処理、支払依頼などのメールを受信した場合に、正しい依頼なのか冷静に判断し、確認、対応できるように教育していくことが重要です。

技術的対策

  • 標的型サイバー攻撃対策

 BECでは、標的のメールアカウントの認証情報窃取などを目的に、不正なURLへのリンクが記載されたフィッシングメールや、キーロガーが添付された標的型メールを送ってきます。まずはメールセキュリティ対策製品で侵入する脅威をブロックし、エンドポイント対策製品でPCへの不正プログラム感染を防ぎましょう。また、万が一、組織内に侵入された場合に備え、内部ネットワーク監視製品を導入して早期に脅威を発見して対応する対策も有効です。

  • メールサーバへの不正アクセス対策

 サイバー犯罪者は企業の従業員のメールアカウント情報を窃取するといった手口だけでなく、企業のメールを盗み見るためにメールサーバに直接攻撃を仕掛けてくる場合があります。その場合には、メールサーバの脆弱性を狙った攻撃や設定の不備を突く不正アクセスなどが想定されるため、サーバセキュリティ対策製品の導入や侵入防御システムの導入をお勧めします。

  • ソーシャルエンジニアリングを用いた詐欺メールの検知

 BECでは巧妙ななりすましメールが従業員に送られてきますが、こうしたメールにはソーシャルエンジニアリングの手口が多用されています。そのため、ソーシャルエンジニアリング攻撃を検知する技術を搭載したメール対策製品の導入が有効です。


 さて、3回にわたって、企業のセキュリティ担当者が注意すべき最新のサイバー脅威について解説してきました。新ファミリーが次々と出現し、その脅威が多様化しているランサムウェアや、深刻な脆弱性を悪用して企業のWebサイトを狙うサイバー攻撃、そして新たな脅威であるビジネスメール詐欺など、2017年も企業を取り巻くセキュリティの脅威は深刻な状況が続いています。企業ではこうした脅威の被害に遭わないよう、今一度自社のセキュリティ対策を見直すことをお勧めします。

著者プロフィール

トレンドマイクロ株式会社 コアテク・スレットマーケティンググループ 山外一徳

大学卒業後、官公庁の技術系職員としてセキュアなネットワークシステムの開発プロジェクトなどのセキュリティ業務に8年携わる。その後webサービス企業でセキュリティソリューションの導入・運用、SOC業務を経験。2015年にトレンドマイクロへ入社し、最新の脅威動向に関する情報をもとに法人向けに特化したマーケティング活動に従事。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ