ホリデーシーズンはビジネスメール詐欺が増加 注意すべき文面は?:Cybersecurity Dive
ホリデーシーズンには支払いを不正に奪取しようとするビジネスメール詐欺(BEC)が増加する恐れがある。では、どのような文面に注意すればいいのだろうか。
連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年11月26日(現地時間)、企業に対してホリデーシーズンに支払いを不正に奪取しようとするサイバー犯罪者から身を守るよう警告した。
ホリデーシーズンにリスクが高まるビジネスメール詐欺 注意すべき文面
両機関によると、ホリデーシーズン中は、不正な第三者による脅威活動が通常より増加する傾向があるという。企業はアカウントの変更を主張する偽のベンダーや小売業者からの電子メールに注意する必要がある。
当局は標的となった企業や個人に対し、インシデントを米国インターネット犯罪苦情センター(IC3)に速やかに報告するよう促した(注1)。IC3には資産回収部門があり、不正な支払い活動を阻止し、被害者に支払いを返還するための支援を実施している。
感謝祭からブラックフライデーの週末まで続くホリデーショッピングシーズンの正式な開始を数日後に控えた時期に(注2)、この警告が発表された。小売業者の多くは早くから割引を開始し、少なくともサイバーマンデーまで割引を延長する予定だ。
企業はしばしばホリデーシーズン中に未回収の債権を整理したり、年末に支払う取引先への送金を設定したりする。この時期には、ビジネスメール詐欺(BEC)攻撃のリスクが高まると当局は警告している。
FBIフェニックス支局の監督特別捜査官であるメアリー・グリーソン氏は「Cybersecurity Dive」に対して次のように語った。
「取引先の支払い情報に変更があるという連絡に関して、企業は細心の注意を払うべきだ」
アリゾナ州やカリフォルニア州、ネバダ州、ハワイ州、一部の米国領土を含むCISAのRegion 9でサイバーセキュリティ・アドバイザーを務めるジェリー・キーリー氏によると、この種の攻撃の脅威は企業自体だけでなくその顧客にも及ぶという。
グリーソン氏は、これらの攻撃の被害者は直ちに報告すべきだと強調した。アリゾナ州の地方自治体は500万ドルを狙う攻撃を受けたが、FBIに連絡し、IC3に攻撃を報告したところ、資産回収プロセスが開始され、ほぼ全額を取り戻せた。
当局は、攻撃を受けたシステムへのさらなる不正アクセスを防ぐため、企業に多要素認証を導入するよう警告した。
(注1)Welcome to the Internet Crime Complaint Center(Internet Crime Complaint Center)
(注2)As holiday season begins, US braces for looming risk of cyberattacks(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
大企業にはマネできない 小さい組織ならではの冴えたランサムウェア対策
ランサムウェアが企業規模にかかわらず全ての企業を標的にする今、中堅・中小企業にとってもセキュリティ対策は必須となっています。今回は、小さい組織ならではで、かつ大企業には絶対にマネできない非常に強力なランサムウェア対策を紹介します。情報セキュリティ測定の新指針 NISTが特別刊行物の最終版を発行
NISTが情報セキュリティ測定に関する包括的なガイド「SP 800-55v1およびv2」の最終版を公開した。これらのガイドは組織が情報セキュリティ施策の成果を評価し、意思決定を支援する。TP-Link製の複数ルーターに深刻な脆弱性 対象製品とユーザーへの影響は?
TP-Link製ルーターに影響する脆弱性CVE-2024-53375が見つかった。この脆弱性を悪用するとリモートコード実行が可能になるため、早急に対処が必要だ。影響を受けるルーター製品を確認してほしい。セキュリティキャリアをSOCから始めるべき“素朴な”理由
最近は多くの若手セキュリティエンジニアがブルーチーム側よりもレッドチームやパープルチーム側に興味・関心を持っている。しかしブルーチームにもいいところはある。KasperskyのシニアSOCアナリストがブルーチームの素朴な素晴らしさを語った。