ビジネスメール詐欺、その手口と被害に遭わない対策

SHIFT SECURITY セキュリティの学び場ニュース解説ビジネスメール詐欺、その手口と被害に遭わない対策

ビジネスメール詐欺、その手口と被害に遭わない対策

2022.10.07 ニュース解説

今回の解説ニュース
ビジネスメール詐欺の手口、2つのタイプ
ビジネスメール詐欺被害に遭わないために

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

IPA「ビジネスメール詐欺対策特設ページ」を公開

独立行政法人情報処理推進機構（IPA）は9月28日、ビジネスメール詐欺（BEC）対策特設ページを公開した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

ビジネスメール詐欺の対策特設ページが公開されています。今回は、ビジネスメール詐欺の手口や、被害に遭わないために気を付けるべきポイントについて説明します。

ビジネスメール詐欺は、巧妙な騙しの手口を駆使した偽のメールを組織や企業に送信し、従業員を騙して攻撃者の用意した口座へ送金させる詐欺の手口です。

今回の特設ページは、さらなるビジネスメール詐欺の脅威に備え、ビジネスメール詐欺の対策に必要となる情報を集約するために開設されました。

ビジネスメール詐欺の手口、2つのタイプ

ビジネスメール詐欺のパターンとして、「取引先との請求書の偽装」と「経営者等へのなりすまし」の2つのタイプが、攻撃事例として多く確認されています。

取引先との請求書を偽装するビジネスメール詐欺は、攻撃者が取引先になりすまし、攻撃者の用意した口座に差し替えた偽の請求書等を送り付け、振り込みをさせるというものです。一方で、経営者等へなりすますビジネスメール詐欺は、攻撃者が企業の経営者や企業幹部などになりすまし、企業の従業員に攻撃者の用意した口座へ振り込みをさせるというものです。

それがたとえ送金担当者でなかったとしても、間接的に攻撃へ関与してしまう可能性もあります。ビジネスメール詐欺は、メールのなりすまし等のサイバー攻撃の手法を用いつつ、巧妙に人を騙す手口です。メールのなりすましを行うために、攻撃者は何らかの方法でなりすますターゲットの情報やメールアドレスを調査します。

もし、マルウェア等に感染してしまうと、過去のメールのやり取りから、取引先や経営者の情報が攻撃者の手に渡ってしまう可能性があります。

ビジネスメール詐欺被害に遭わないために

被害にあわないために気を付けるべきポイントとして、普段と異なるメールへ注意する、送金に関する社内規定の整備、マルウェアや不正アクセスへの対策が挙げられています。

まず、少しでも不審と感じたメールや添付ファイルを開かないことが必要です。普段とは違った指示、イレギュラーな対応については、関係者とメール以外の手段で相談や連絡を行い、情報共有するようにしましょう。また、送金に関する社内規定の整備も必要です。これは内部統制の考えとしても求められますが、急な送金が発生した際も、複数人で承認される手続きを経て実行されるように、チェック体制を整備しましょう。

さらに、マルウェアや不正アクセス対策も必要です。OSやソフトウェア、セキュリティ対策を最新の状態にし、パスワードを第三者が推測できない文字列にして使いまわさず、多要素認証の活用も検討しましょう。

このブログをご覧の皆さんであればお気づきかと思いますが、メールを使ったサイバー攻撃であるマルウェアやフィッシング詐欺と同様の対策が有効です。ビジネスメール詐欺を未知の脅威として恐れず、引き続き、基本的なセキュリティ対策を徹底していきましょう。

Voicyでニュース解説ラジオ配信中！

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください！

今日の10分セキュリティラジオはこちら

著者セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。