情報セキュリティ(28)　サイバー攻撃の手口①　詐欺メール

先回までは、独立行政法人情報処理推進機構(IPA)情報セキュリティセンターの「中小企業の情報セキュリティ対策ガイドライン」をベースに書きました。
ここからは、実際のサイバー攻撃の手口について、書いていきたいと思います。

第一回は、詐欺メール(BEC = Business E-mail Compromise)です。いわゆるメール版の振り込め詐欺ですが、非常に初歩的な手段であるがために、被害の根絶が難しいものです。

典型的なものが、「振込先が変更となったので、次回振込から次の口座に振り込んでください」というメールです。振込先変更については、必ず電話やFAX、郵便など、メール以外の媒体での確認を行うことが原則です。

このようなメールは、差出人のアドレスが、巧妙に変えられていることがあります。例えば、「nhk.or.jp」を「mhk.or.jp」とするとか、「children.com」を「chi1dren.com」とするなどです。一見して見分けがつかないこともあります。

最近では手が込んでいて、メールを傍聴し、発信人のクセを模倣し、さらには発信者のアドレスも本物に置き換えてしまうような詐欺メールが出てきています。こうなると、もはや見抜くことが困難になります。

2018年1月には、大手航空会社が詐欺メールにより4億円近い被害を受けたことは、まだ記憶に新しいところです。

まさか自分の会社はひっかからないだろう、という安心は禁物です。詐欺メールは技術的に見抜くことが難しいので、社員教育が最も重要となります。