あなたのメールも“完コピ”される――JALすらハマった「ビジネスメール詐欺」の恐ろしさ:半径300メートルのIT(1/2 ページ)
偽メールにだまされ、3億8000万円ものお金を失ってしまった日本航空。まさに“企業版オレオレ詐欺”とも言うべきものですが、やりとりをほぼ“完コピ”したメールを見抜くのは、皆さんの想像をはるかに上回る難しさなのです。
年の瀬の忙しいタイミングを見計らったのか、震え上がるような事件が起こりました。日本航空(JAL)が「偽メールにだまされ」、3億8000万円もの被害を受けたというニュースです。
この問題は本当に深刻なもので、セキュリティ業界では「ついに日本でも起きたか」という受け止め方が一般的です。ついうっかりというレベルの話ではなく、「ダブルチェックなどを徹底している、日本航空ほどの企業ですらだまされてしまう」と受け止めるべきでしょう。この魔の手は、あなたのすぐ近くにまで来ているのです。
オレオレ詐欺の企業版? 「ビジネスメール詐欺」の恐ろしさとは
今回のような事件の背景には、ビジネスの中でやりとりされるメールを使った「ビジネスメール詐欺」(BECとも呼ばれる)があります。ビジネスメール詐欺とは私たちがよく受け取るような「サングラス激安!」という単純なものではなく、あらかじめ企業のネットワーク内に侵入し、やりとりされるメールの内容や宛先を研究し尽くした上で、取引に関するメールがやりとりされた瞬間に送られる「詐欺メール」です。
もちろん、文面はネイティブな日本語を使っている上に、内容によっては書き手のクセなどもきっちりコピーしてきます。特に今回のケースでは、メールアドレスも「本物と見分けがつかない状態だった」(JAL広報部)とのこと。忙しい時に、この“ほぼ完全コピー”の詐欺メールを“偽物”だと判断できるでしょうか? 正直に言って、私には自信がありません。
※JALへの取材をもとに、一部内容を変更いたしました。(12/26 13:40)
今回は取引において「振込先を変更する」ことがトリガーとなり、偽の口座情報にまんまとだまされてしまいました。NHKニュースによると、サインなども記されていたとのことです。その概略や具体的な手法は、まだ明らかになっていなかったものの、既に海外ではビジネスメール詐欺における被害が報告されており、遅かれ早かれ、日本でも甚大な被害が出るだろうと予期されていました。
ビジネスメール詐欺は、これまでの迷惑メールとは比べものにならないレベルで、サイバーとも言い切れない直球の“詐欺”を行うものです。決して「だまされた人の注意力が足りないから起きる」わけではありません。先日取り上げた講演でも述べられていましたが、「事故を起こした人を責めない」ことが重要なのだと思います。
関連記事
- 新たな脅威「ビジネスメール詐欺(BEC)」とは?
実在の組織や人物をかたったメールで従業員をだまし、サイバー犯罪者が管理する口座へ不正な送金処理をさせたり、特定の情報をだまし取ったりする「ビジネスメール詐欺(BEC)」が広がりつつあります。 - ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」
「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER:Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。 - 日産カナダ法人、ローン利用者の個人情報が流出 113万人に連絡
Nissan Canada Financeのローンを利用した一部顧客の個人情報が、何者かに不正アクセスされる被害に遭った。 - Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言
Equifaxのセキュリティ部門が行ったスキャンではApache Strutsの脆弱性を発見できず、同社のセキュリティツールも不正アクセスを検出できなかった。
Copyright © ITmedia, Inc. All Rights Reserved.