新たな脅威「ビジネスメール詐欺(BEC)」とは?:情報セキュリティの深層(2/2 ページ)
実在の組織や人物をかたったメールで従業員をだまし、サイバー犯罪者が管理する口座へ不正な送金処理をさせたり、特定の情報をだまし取ったりする「ビジネスメール詐欺(BEC)」が広がりつつあります。
BECの被害状況
BECでは、ランサムウェアや標的型サイバー攻撃のような、不正プログラムの改変や脆弱(ぜいじゃく)性の悪用といった技術的なスキルよりも、企業をだますためのソーシャルエンジニアリングのスキルが求められます。こうしたソーシャルエンジニアリングの攻撃を受け、世界各地の企業がBECの被害に遭っています。米国連邦捜査局(FBI)によると、2013年10月から2016年12月の約3年間で、既に全世界で4万件以上の被害が発生し、被害総額は50億米ドル(約5500億円)以上に及んでいることが分かっています。その脅威が、国内の企業にも忍び寄ってきています。実際、トレンドマイクロが実施した調査の結果、2016年には全世界92カ国の企業がBEC関連のなりすましメールを受信しており、その標的組織数の国別割合を見てみると、日本は2.75%を占め上位5位に入っていることが分かっています(図2参照)。
日本企業でも被害が発生していることが確認されており、今後ますますBECの脅威が国内に拡大することが予測されます。主にメールによる連絡手段で海外の企業とビジネスを行っている日本企業は、特にBECに対する注意が必要です。
BECへの対策で重要なポイント
BECの攻撃では、フィッシングメール、キーロガーといった不正プログラムが用いられるだけでなく、ソーシャルエンジニアリングの手口も多用されます。そのため、BEC対策では、セキュリティ製品による技術的対策だけでなく、組織的対策も重要となってきます。
組織的対策
- 送金処理に関する社内整備
BECによる不正な送金依頼は高額である場合が多いため、高額送金の決裁処理に関するポリシーや手順を整理し、従業員に徹底することが必要です。
- 従業員に対する教育
BECは標的企業の幹部や従業員をだまし、送金処理を実施させるサイバー犯罪であり、最終的に従業員が狙われる脅威です。そのため、従業員のBECについての理解が必要です。従業員が送金処理、支払依頼などのメールを受信した場合に、正しい依頼なのか冷静に判断し、確認、対応できるように教育していくことが重要です。
技術的対策
- 標的型サイバー攻撃対策
BECでは、標的のメールアカウントの認証情報窃取などを目的に、不正なURLへのリンクが記載されたフィッシングメールや、キーロガーが添付された標的型メールを送ってきます。まずはメールセキュリティ対策製品で侵入する脅威をブロックし、エンドポイント対策製品でPCへの不正プログラム感染を防ぎましょう。また、万が一、組織内に侵入された場合に備え、内部ネットワーク監視製品を導入して早期に脅威を発見して対応する対策も有効です。
- メールサーバへの不正アクセス対策
サイバー犯罪者は企業の従業員のメールアカウント情報を窃取するといった手口だけでなく、企業のメールを盗み見るためにメールサーバに直接攻撃を仕掛けてくる場合があります。その場合には、メールサーバの脆弱性を狙った攻撃や設定の不備を突く不正アクセスなどが想定されるため、サーバセキュリティ対策製品の導入や侵入防御システムの導入をお勧めします。
- ソーシャルエンジニアリングを用いた詐欺メールの検知
BECでは巧妙ななりすましメールが従業員に送られてきますが、こうしたメールにはソーシャルエンジニアリングの手口が多用されています。そのため、ソーシャルエンジニアリング攻撃を検知する技術を搭載したメール対策製品の導入が有効です。
さて、3回にわたって、企業のセキュリティ担当者が注意すべき最新のサイバー脅威について解説してきました。新ファミリーが次々と出現し、その脅威が多様化しているランサムウェアや、深刻な脆弱性を悪用して企業のWebサイトを狙うサイバー攻撃、そして新たな脅威であるビジネスメール詐欺など、2017年も企業を取り巻くセキュリティの脅威は深刻な状況が続いています。企業ではこうした脅威の被害に遭わないよう、今一度自社のセキュリティ対策を見直すことをお勧めします。
著者プロフィール
トレンドマイクロ株式会社 コアテク・スレットマーケティンググループ 山外一徳
大学卒業後、官公庁の技術系職員としてセキュアなネットワークシステムの開発プロジェクトなどのセキュリティ業務に8年携わる。その後webサービス企業でセキュリティソリューションの導入・運用、SOC業務を経験。2015年にトレンドマイクロへ入社し、最新の脅威動向に関する情報をもとに法人向けに特化したマーケティング活動に従事。
関連記事
- 「ビジネスメール詐欺」が急増中 IPAが注意喚起
IPA(独立行政法人情報処理推進機構)が、「ビジネスメール詐欺」(BEC)について注意喚起を行った。具体的な手口の事例解説とともに、対策を提示している。 - 偽社長の送金指示メールで大金被害、本物の社長が辞任するケースも
「急に資金が必要だ」といった内容のメールで経理担当者などに入金させる詐欺が横行し、毎日400社近くが狙われているという。 - 企業はランサムウェアの攻撃に備えて何をすればいいか
2016年頃から、従来のサイバー犯罪被害に加えて、「ランサムウェア」の被害も増えてきました。海外では社会インフラにまで影響を及ぼす事例も出ています。このランサムウェアとはなんなのか、どのような対策が必要なのか、細かく解説します。 - Webサイトを守るために企業が実施すべき対策とは?
ITmedia エンタープライズでも頻繁にニュースとして取り上げる「脆弱性」の情報。ソフトウェアに脆弱性があると、どんな影響があるのでしょうか。企業にとっては、この脆弱性が非常に深刻な脅威なのです。 - 2017年は標的型ランサムウェアや振り込め詐欺に注意、トレンドマイクロが予想
同社は2016年が「サイバー脅迫元年」だったと指摘。昨年のサイバー犯罪動向と2017年の脅威予想を解説した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.