俺を忘れてもらっちゃ困るぜーー進化する「ビジネスメール詐欺」半径300メートルのIT(1/2 ページ)

「さすがに今更、こんな手には引っかからないだろう」という油断を突かれ、多額の被害を受ける……そんなことが起きないように、企業や業界の垣根を超えた「公衆衛生対策」が求められています。

» 2019年08月14日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 7payへの不正アクセスを始めとする各種コード式決済サービスを狙った攻撃や、EU一般データ保護規則(GDPR)違反の有無も気になるリクナビ問題など、大きな組織が運営するサービスの問題が次々と明るみに出ています。これら最新の脅威の話題に関しては、ぜひ一通り目を通してみてください。これらの問題は、いつ自分の組織で発生するか分かりません。「知らなかった」を「聞いたことがある」に変え、万が一の際の、初期対応に生かしてほしいと思います。

その取引メール、本物ですか? その取引メール、本物ですか?

 また、最新の脅威に併せて怠らないでいただきたいのが、トレンドニュースに乗らないインシデント情報のキャッチアップです。今回はそれらの中でも、もしかしたら過去の話だと思っている方も多いかもしれない脅威、「ビジネスメール詐欺」についてご紹介いたします。

手を替え品を替え……あなたを狙うBEC

 ビジネスメール詐欺(BEC)とは、ビジネス版のいわゆる「オレオレ詐欺」です。狙った組織に侵入してメールのやりとりを前もって盗聴しておき、標的の商習慣や組織構成を把握、そこから得られた情報を基に関係者を装うメールを従業員に送って、不正な口座に金銭を振り込ませる犯罪です。2017年末に日本航空が約3億8000万円の被害に遭い、一大ブーム(?)となりました。

 BECは日本航空の事例以降大きなニュースとしては報じられていないため、「そういえば、最近聞かなくなったな」と思われるかもしれません。しかし、BECの攻撃は、現在でも続いています。2019年7月に情報処理推進機構(IPA)から発表されたレポートで、非常に巧妙な手口が報告されていました。2019年2月に発生した「新規の海外取引先企業を詐称する攻撃」です。

プレス発表 本年確認されたビジネスメール詐欺の事例を解説、J-CSIP運用状況レポートを公開:IPA 独立行政法人 情報処理推進機構

 これまではBECといえば「請求書の振込先を変更させる」のが常とう手段と思われていました。しかしこの事例では、価格修正を装って「正しい見積書を送る」と称し、攻撃者の振込先口座が書かれた偽の見積書を送付、詐欺メールにはご丁寧に、「先に送った見積書は破棄してください」という指示がありました。振り込みを実行する担当者が、正式な見積書と比較できないように細工されていたのです。

口座変更ではなく「見積書の差し替え」としてBECを行う事例 口座変更ではなく「見積書の差し替え」としてBECを行う事例(出典:IPA)

 IPAの報告によれば、攻撃者はメール攻撃を実行する前に組織内部に侵入し、メールの内容や内部情報を盗んでいた可能性が高いようです。このような被害に遭わないためには、マルウェア対策や迷惑メール対策といった徹底とともに、銀行の担当者に確認する、おかしいと思った人が正しくエスカレーションできる報告ルートを整備するといった、ITの仕組み以外でのセキュリティ対策も実施しておく必要があるでしょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ