先月末、IPA(情報処理推進機構)が情報セキュリティ10大脅威 2018を発表しました。
https://www.ipa.go.jp/security/vuln/10threats2018.html
この中で「組織」のセキュリティ脅威第3位に急浮上した「ビジネスメール詐欺」について
客観的に見るとありえないのに引っかかってしまう、巧妙な手口に土江紹介したいと思います。
## ビジネスメール詐欺とは
一言で言うと「金くれとメールを企業に送り、企業が振り込む」という内容です。
社会人の方々なら勿論、学生の方でも普通に考えると引っかからないと思うのですが…
## 実際の事例
JAL3.8億円詐欺被害 ビジネスメールに割り込み偽請求
ウイルスで情報が…など書いてますが、実際は「振り込んで」とメールで頼まれたので3.8億円振り込んだ、という話です。
## 引っ掛けの手口
引っ掛けるポイントは「社内の重役が、社内の人しか知らない情報で指示を出したように見せる」ことです。
そして、「急かし」ます。混乱した現場が重役に怒られるのを恐れる余り、振込に繋がるという手口にとなっています。後は極秘プロジェクトとか言って他への確認を口止めするパターンもあるようです。勿論、メールアドレスは重役のアドレスから送ったように偽装しています。
## 対策
基本的なことですが、本人に折返し電話する!(返信メールで電話番号聞いたら駄目ですよ)
これだけで防げます。稟議を通さないなど、イレギュラーな対応のためそのまま実行しがちですが、社内慣習で、緊急時は本人に電話をする(緊急だから出るぐらいは出来ますよね)といった対応が必要になります。
## ターゲットになるのはどこ?
企業の経理・財務部門が狙われます(お金すぐに振り込めますしね)。JALは大企業の例ですが、中小企業でも数千万円単位なら十分あるため、ターゲットとなるようです。
## まとめ
・最近企業向けの「振込依頼詐欺」が急増中
・メールアドレスは偽装できるものと認識する。(メールサーバやセキュリティソフトで防げるものも多い)
・緊急時は本人に電話確認するルールにする
以上でした。
ありえないと思うから数億円でも引っかかってしまう、幾ら技術が発展しても、こういった思い込みに漬け込むのはいつの時代でも一緒ですね。
## セキュリティ10大脅威について
なお、冒頭で紹介したIPAのセキュリティ10大脅威はオススメの一冊です。また紹介記事を書きますが、今年はIOT機器の対策が記載されるなど、セキュリティを勉強する上で必読の内容となっています。