巧妙化するビジネスメール詐欺の脅威
セキュリティを高めたい
「ビジネスメール詐欺」ってよく聞くけど、普通の詐欺と何が違うんですか?
情報セキュリティ専門家
良い質問ですね。普通の詐欺と比べて、ビジネスで使うメールを悪用するところが大きく違います。会社のお金や重要な情報を狙うことが多いので、被害が大きくなりやすいんです。
セキュリティを高めたい
なるほど。でも、会社のメールアドレス宛に送られてくるんですよね?怪しいメールだと分からないんですか?
情報セキュリティ専門家
実は、取引先の担当者や上司など、本物そっくりになりすましてメールを送ってくるんです。本物と見分けるのが難しく、だまされてしまうケースが多いんですよ。
ビジネスメール詐欺とは。
「仕事上のメールを使った詐欺として、『仕事メール詐欺』という言葉があります。これは、英語で『ビジネスメールコンプロマイズ』とも呼ばれ、世界中で広がっている、会社に大きな損害を与える詐欺です。
詐欺を行う者は、取引先や会社の偉い人など、社員がよく知っている人になりすましてメールを送ります。そして、あらかじめ用意した口座にお金を送るように指示します。
なりすましたメールを本物のように見せるために、悪いプログラムなどを使って、本物のメールや請求書の内容を盗み出すことも行われています。
よくある手口としては、偽のメールや偽のサイト、盗んだパスワードなどを使って、狙った人のメールアカウントに侵入し、そこからなりすましを行います。また、複数の方法で本人確認をする仕組を突破するために、間に入って情報を盗み取る攻撃なども行われます。」
巧妙ななりすましによる詐欺
– 巧妙ななりすましによる詐欺近年、巧妙ななりすましメールを使って企業からお金をだまし取る、「ビジネスメール詐欺(BEC)」と呼ばれるサイバー犯罪が急増しています。これは、取引先や上司など、日頃からやり取りのある相手になりすまし、本物と見分けがつかないほど精巧なメールを送ってくるという手口です。メールの内容は、取引代金の支払い依頼や請求書の処理といった、一見ごく普通の業務連絡に紛れていることが多く、受信者を油断させます。そして、巧みに文面を工夫することで、言われるがままに偽の銀行口座へお金を振り込ませてしまうのです。BECの被害は世界中で確認されており、その手口は巧妙化の一途をたどっています。 大企業だけでなく、中小企業でも被害に遭うケースが増えており、企業規模を問わず、その脅威は高まっていると言えるでしょう。特に、取引先とのやり取りが多い企業や、従業員に対するセキュリティ意識向上の研修が十分に行われていない企業は、BECの標的になりやすいと考えられます。そのため、日頃から不審なメールを見抜く目を養うとともに、社内全体でセキュリティ対策を徹底していくことが重要です。
項目 | 内容 |
---|---|
攻撃手法 | ビジネスメール詐欺(BEC) |
特徴 | 巧妙ななりすましメールを使用 取引先や上司などになりすます 業務連絡を装う |
目的 | 金銭をだまし取る |
被害状況 | 世界中で確認されている 大企業だけでなく中小企業でも被害が増加 |
標的となりやすい企業 | 取引先とのやり取りが多い企業 従業員に対するセキュリティ意識が低い企業 |
対策 | 不審なメールを見抜く目を養う 社内全体でセキュリティ対策を徹底する |
巧妙化する手口
– 巧妙化する手口
企業を狙った金銭を狙う攻撃であるBEC攻撃は、年々その手口が巧妙化しており、もはや単純ななりすましメールとは呼べない状況になっています。かつては、一見しただけでは判断が難しい巧妙ななりすましメールを用いて、金銭をだまし取るという手法が主流でした。しかし、現在では、マルウェア感染やアカウント乗っ取りなど、様々な技術を組み合わせた、より高度な攻撃が確認されています。
例えば、マルウェアに感染した端末から、実在する社員とのやり取りや、本物の請求書などの情報が盗み出され、それを悪用した巧妙な偽の指示が送られてくるケースも増えています。受信者は、本物と全く同じ文面や添付ファイルを見せられるため、それが偽物だと見抜くことは非常に困難です。
さらに、フィッシングサイトなどで盗み出したログイン情報やパスワードを悪用し、正規のメールアカウントを乗っ取るケースも後を絶ちません。攻撃者は、乗っ取ったアカウントを使って、あたかも本人から指示を出しているかのように装って金銭を要求します。この場合、メールアドレスだけでなく、送信元も本物であるため、受信者が攻撃だと気付くのは非常に困難です。
攻撃手法 | 概要 | 特徴 |
---|---|---|
従来のBEC攻撃 | 巧妙ななりすましメールを用いて金銭をだまし取る | 一見しただけでは判断が難しいなりすましメールが用いられる |
最近のBEC攻撃 | マルウェア感染やアカウント乗っ取りなどを組み合わせた高度な攻撃 | – マルウェア感染により、本物のやり取りや請求書情報が悪用される – 盗み出したログイン情報で正規アカウントを乗っ取り、本人になりすまして金銭を要求 |
多要素認証の突破
近年、不正アクセスを防ぐための対策として、複数の方法で本人確認を行う多要素認証を取り入れる企業が増えてきました。しかし、企業などを標的にした金銭を狙った攻撃を行う者は、この多要素認証を突破するための新たな方法を次々と生み出しています。その代表的な方法の一つが、「中間者攻撃」と呼ばれるものです。
中間者攻撃は、本来やり取りを行うべき利用者とサービスの間に攻撃者が入り込み、見えない形で通信を傍受する攻撃です。例えば、利用者がインターネットバンキングにログインしようとした際に、攻撃者は偽のログイン画面を表示させ、利用者が入力したIDやパスワードなどの認証情報を盗み取ります。さらに、この時、システムによっては、多要素認証で利用されるワンタイムパスワードなども盗み取られる可能性があります。
また、攻撃者は盗み取った認証情報を用いて、利用者に成り代わってシステムにログインし、不正送金などのサイバー犯罪を行う可能性があります。このように、中間者攻撃は、多要素認証を突破して重要な情報にアクセスするための手口として悪用される可能性があります。
そのため、企業は、従業員に対して多要素認証の重要性や、中間者攻撃のリスクを周知徹底する必要があります。また、ファイアウォールや侵入検知システムなどのセキュリティ対策を強化することで、中間者攻撃を防ぐことが重要になります。
攻撃手法 | 概要 | 対策 |
---|---|---|
中間者攻撃 | 利用者とサービスの間に攻撃者が入り込み、通信を傍受する。偽のログイン画面などで認証情報を盗み取る。 | – 多要素認証の重要性とリスクの周知徹底 – ファイアウォールや侵入検知システムなどのセキュリティ対策強化 |
多額の被害
近年、企業を狙った巧妙な詐欺であるBEC攻撃が増加の一途をたどっています。BEC攻撃による被害は、金銭的な損失だけにとどまりません。攻撃によって企業の信用は大きく傷つけられ、顧客との信頼関係は崩れ去ってしまいます。顧客離れは深刻化し、取引停止に追い込まれるケースも少なくありません。
一度攻撃を受けると、その後の事業活動にも大きな支障をきたす可能性があります。企業は、失った信用を取り戻すために多大な時間と労力を費やさなければならず、顧客との関係再構築にも長い道のりが必要です。
BEC攻撃は、企業にとって深刻な経営課題となっています。攻撃による金銭的な損失はもちろんのこと、企業の信頼、顧客との関係、そして将来的な事業活動への影響まで考慮すると、その被害は計り知れません。
BEC攻撃による被害 | 具体的な内容 |
---|---|
金銭的な損失 | 詐欺による直接的な損失 |
信用失墜 | 企業の社会的評価の低下 |
顧客離れ | 信頼関係の崩壊による顧客の減少 |
取引停止 | 信用問題や顧客離れによる取引の停止 |
事業活動への支障 | 信用回復活動、顧客との関係再構築など |
対策の重要性
昨今、企業を狙った巧妙な詐欺メールを用いて、金銭をだまし取るビジネスEメール詐欺(BEC)の脅威が増大しています。このような状況下では、従業員一人ひとりがセキュリティ意識を高め、適切な対策を講じることが、企業を守る上で非常に重要になります。
BECの被害に遭わないためには、まず、不審なメールを見分ける力を養うことが大切です。具体的には、送信元のメールアドレスをよく確認し、少しでも不自然な点があれば、安易に添付ファイルを開いたり、本文中のURLをクリックしたりしないように注意が必要です。また、業務内容と関係のない請求書が届いた場合など、少しでも怪しいと感じたら、上司や情報システム部門に相談し、指示を仰ぐようにしましょう。
さらに、パスワードの管理を徹底することも重要です。推測されやすい簡単なパスワードの使用は避け、定期的にパスワードを変更するなど、厳重な管理を心掛けましょう。加えて、二段階認証など、複数の認証要素を組み合わせた多要素認証を導入することで、セキュリティを強化することも有効な対策となります。
企業は、従業員がこれらのセキュリティ対策を理解し、実践できるよう、定期的なセキュリティ教育を実施していく必要があります。最新のBECの手口や、具体的な対策方法などを分かりやすく説明することで、従業員のセキュリティ意識向上を図り、より強固なセキュリティ体制を構築していくことが重要です。
BEC対策 | 具体的な対策 |
---|---|
不審なメールの見分け方 |
|
パスワード管理の徹底 |
|
セキュリティの強化 | 二段階認証など、多要素認証を導入する |
その他 |
|