IPA「ビジネスメール詐欺対策特設ページ」を公開

本稿は、Voicyで放送中の「今日の10分セキュリティラジオ」の文字起こし記事です。

IPA=独立行政法人情報処理推進機構は9月28日、ビジネスメール詐欺対策特設ページを公開しました。今回は、コチラの記事を簡単な解説になります。

松野
松野

ビジネスメール詐欺の対策特設ページが公開されています。今回は、ビジネスメール詐欺の手口や、被害にあわないために気を付けるべきポイントについて説明します。 早速ですが、宮本さんは誰かに騙されそうになったことはありますか?

宮本
宮本

メニューを見てボリュームがありそうだと思って注文したら実際は少なかったとか、お店に入った後でサービス料など別料金がかかりますと言われて出るに出られずお金を払ったとか、そのようなことはちょこちょこありますね。。。

松野
松野

そんな、すぐ信じてしまう宮本さんは気を付けた方がいいかもしれない、ビジネスメール詐欺に関する話題です。 ビジネスメール詐欺は、巧妙な騙しの手口を駆使した偽のメールを組織や企業に送信し、従業員を騙して攻撃者の用意した口座へ送金させる詐欺の手口です。今回の特設ページは、さらなるビジネスメール詐欺の脅威に備え、ビジネスメール詐欺の対策に必要となる情報を集約するために開設されました。

宮本
宮本

今回挙げられたビジネスメール詐欺の手口としては、具体的にどのようなものがありましたか?

松野
松野

ビジネスメール詐欺のパターンとして、「取引先との請求書の偽装」と「経営者等へのなりすまし」の2つのタイプが、攻撃事例として多く確認されています。 取引先との請求書を偽装するビジネスメール詐欺は、攻撃者が取引先になりすまし、攻撃者の用意した口座に差し替えた偽の請求書等を送り付け、振り込みをさせるというものです。 一方で、経営者等へなりすますビジネスメール詐欺は、攻撃者が企業の経営者や企業幹部などになりすまし、企業の従業員に攻撃者の用意した口座へ振り込みをさせるというものです。

宮本
宮本

私は仕事の中で誰かに送金するという業務を担当することがないので、この件は無関係と思って良いのでしょうか。

松野
松野

宮本さんが送金担当者でなくても、間接的に攻撃へ関与してしまうかもしれません。 ビジネスメール詐欺は、メールのなりすまし等のサイバー攻撃の手法を用いつつ、巧妙に人を騙す手口です。メールのなりすましを行うために、攻撃者は何らかの方法でなりすますターゲットの情報やメールアドレスを調査します。もし、宮本さんがマルウェア等に感染してしまうと、過去のメールのやり取りから、取引先や経営者の情報が攻撃者の手にわたってしまう可能性があります。

宮本
宮本

私たちが気を付けるべきことを教えてください。

松野
松野

被害にあわないために気を付けるべきポイントとして、普段と異なるメールへ注意する、送金に関する社内規定の整備、マルウェアや不正アクセスへの対策が挙げられています。 まず、少しでも不審と感じたメールや添付ファイルを開かないことが必要です。普段とは違った指示、イレギュラーな対応については、関係者とメール以外の手段で相談や連絡を行い、情報共有するようにしましょう。 また、送金に関する社内規定の整備も必要です。これは内部統制の考えとしても求められますが、急な送金が発生した際も、複数人で承認される手続きを経て実行されるように、チェック体制を整備しましょう。 さらに、マルウェアや不正アクセス対策も必要です。

OSやソフトウェア、セキュリティ対策を最新の状態にし、パスワードを第三者が推測できない文字列にして使いまわさず、多要素認証の活用も検討しましょう。 セキュラジリスナーの皆さんであればお気づきかと思いますが、メールを使ったサイバー攻撃であるマルウェアやフィッシング詐欺と同様の対策が有効です。ビジネスメール詐欺を未知の脅威として恐れず、引き続き、基本的なセキュリティ対策を徹底していきましょう。

宮本
宮本

ありがとうございます。送金業務など、直接お金を扱う業務には携わっていなくても、間接的に関与してしまうこともあるということなので、他人事と思わず、しっかり対策していきたいと思います!

今日の10分セキュリティラジオ