2021年04月19日

情報セキュリティ10大脅威(組織編)~ビジネスメール詐欺による金銭被害~

ishihama
石濱 雄基 記事一覧
Posted in 事例, 従業員教育, 情報セキュリティ,
このエントリーをはてなブックマークに追加 LINEで送る

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第5位 ビジネスメール詐欺による金銭被害

概要

社内の経営幹部や取引先の担当者になりすまし、不正な送金や振り込みなどを行わせる手口です。
業務に関連した送金が発生してしまうため、引っかかった場合の被害額が総じて大きくなることが考えられます。
ビジネスメール詐欺は多くの場合5つの手口に分類されます。

1. 取引先との請求書の偽装

攻撃者は取引先になりすまし、不正入金用の口座情報に差し替えた請求書などを送り付けることで、不正に金銭を入手する手口です。
取引先との連絡を日常的にメールで行っている場合にはより注意が必要です。

また、2020年の傾向として、ビジネスメール詐欺の多くがこの手法であることが報告されています。

2. 社内の経営幹部になりすます

会社の代表や経営幹部に成りすまして、経理担当者などお金を取り扱う人員に送金指示などのメールを送り、攻撃者の用意した口座に振り込ませる手口です。
特徴として、代表や経営幹部の情報を細かく入手しており、通常の社内メールであるかのように成りすましていることが挙げられます。
普段からお金の入出金についてメールで行っている場合ほど、引っかかってしまうリスクも高くなるでしょう。

3. 窃取メールアカウントの悪用

ここまでご紹介したのは、あくまでもそれっぽいメールを送ることによる形でのなりすましでした。
一方この攻撃手口は、従業者のメールアカウント自体を乗っ取り、他の手口のような詐欺メールを送り付けるものです。
他の手口に比べ、偽物であることに気づきにくく、引っかかってしまいやすいです。

4. 社外の権威ある第三者へのなりすまし

社外の権威ある第三者といわれるとわかりづらいですが、言い換えると「弁護士」などが当てはまります。
普段組織が利用している弁護士や社労士のような立場になりすまし、組織の経理担当者に対して送金依頼などのメールを送り攻撃者の口座に入金させる手口です。

5. 詐欺の準備行為と思われる情報の窃取

これは、ビジネスメール詐欺を行う準備として経営幹部や従業者の情報を入手するために、なりすましメールなどを送る手口です。
つまりこの段階では、お金を取ることを目的としているのではなく、お金を取るために送る詐欺メールの信ぴょう性をあげるための個人情報などを取ることを目的としています。

対策

1. 取引に関する仕組み・ルールの構築

まずは、個人の判断で金銭が関わる取引等が行われないような仕組み・ルール作りが望まれます。
また、そもそも取引のための情報のやり取りをメールで行わなくて良いようにするという方法を取り入れることもおすすめです。
例えば、請求書などの取引情報のやり取りはアクセス権限が制限されたクラウドストレージ上で実施するなどの方法が考えられるでしょう。

2. メールが本物か確認する

まずは、メールアドレスや内容の確認など、通常の不審なメールの見分け方同様確認を行うことが望まれます。
その上でさらにセキュリティを担保するのであれば、口座情報の変更などが発生する場合には、電話やFAX、チャットなど、メール以外の方法で相手に確認することもおすすめです。

3. メールアカウントの適切な管理

これは、手口3の窃取メールアカウントの悪用に対して有効に働くものです。
具体的には、パスワードは管理ツールの利用や鍵やパスワードのかかったセキュアな場所で保管するなどの方法が挙げられます。
また、メールサービス側で設定可能であれば、二要素認証やログイン時の通知機能などを利用することもおすすめです。

4. 関係各所への連絡(被害に遭った場合)

これは対策ではありませんが、仮に被害に遭ってしまった場合には対応が求められます。
まずは、警察に相談したり、銀行に相談して送金を取り消してもらうなどの対応を取ることが望まれます。
また、取引先の会社がなりすましに利用されていた場合は、当該取引先にその旨を伝えて対応してもらうようにすることも大切でしょう。

まとめ

今回は、「情報セキュリティ10大脅威(組織編)」の第5位をご紹介しました。

前回から若干脅威としての順位は落としているものの、今回に関しては、この脅威が弱まったわけではなくコロナ禍の影響で他の脅威が強まったと考える方がよいでしょう。
コロナ禍に関係して言えば、リモートワークの普及など個人の判断で業務を行う機会が増えた分、脅威としても大きくなっていると考えるのが自然かもしれません。

また、この脅威は他の脅威に比べ被害時の影響が大きくなりがちです。
しっかりと対策を取って、被害に遭わないようにしましょう。

次回は、「第4位 サプライチェーンの弱点を悪用した攻撃」をご紹介します。

このエントリーをはてなブックマークに追加 LINEで送る

2021年4月19日

情報セキュリティ10大脅威(組織編)~ビジネスメール詐欺による金銭被害~

Posted in 事例, 従業員教育, 情報セキュリティ

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第5位 ビジネスメール詐欺による金銭被害

概要

社内の経営幹部や取引先の担当者になりすまし、不正な送金や振り込みなどを行わせる手口です。
業務に関連した送金が発生してしまうため、引っかかった場合の被害額が総じて大きくなることが考えられます。
ビジネスメール詐欺は多くの場合5つの手口に分類されます。

1. 取引先との請求書の偽装

攻撃者は取引先になりすまし、不正入金用の口座情報に差し替えた請求書などを送り付けることで、不正に金銭を入手する手口です。
取引先との連絡を日常的にメールで行っている場合にはより注意が必要です。

また、2020年の傾向として、ビジネスメール詐欺の多くがこの手法であることが報告されています。

2. 社内の経営幹部になりすます

会社の代表や経営幹部に成りすまして、経理担当者などお金を取り扱う人員に送金指示などのメールを送り、攻撃者の用意した口座に振り込ませる手口です。
特徴として、代表や経営幹部の情報を細かく入手しており、通常の社内メールであるかのように成りすましていることが挙げられます。
普段からお金の入出金についてメールで行っている場合ほど、引っかかってしまうリスクも高くなるでしょう。

3. 窃取メールアカウントの悪用

ここまでご紹介したのは、あくまでもそれっぽいメールを送ることによる形でのなりすましでした。
一方この攻撃手口は、従業者のメールアカウント自体を乗っ取り、他の手口のような詐欺メールを送り付けるものです。
他の手口に比べ、偽物であることに気づきにくく、引っかかってしまいやすいです。

4. 社外の権威ある第三者へのなりすまし

社外の権威ある第三者といわれるとわかりづらいですが、言い換えると「弁護士」などが当てはまります。
普段組織が利用している弁護士や社労士のような立場になりすまし、組織の経理担当者に対して送金依頼などのメールを送り攻撃者の口座に入金させる手口です。

5. 詐欺の準備行為と思われる情報の窃取

これは、ビジネスメール詐欺を行う準備として経営幹部や従業者の情報を入手するために、なりすましメールなどを送る手口です。
つまりこの段階では、お金を取ることを目的としているのではなく、お金を取るために送る詐欺メールの信ぴょう性をあげるための個人情報などを取ることを目的としています。

対策

1. 取引に関する仕組み・ルールの構築

まずは、個人の判断で金銭が関わる取引等が行われないような仕組み・ルール作りが望まれます。
また、そもそも取引のための情報のやり取りをメールで行わなくて良いようにするという方法を取り入れることもおすすめです。
例えば、請求書などの取引情報のやり取りはアクセス権限が制限されたクラウドストレージ上で実施するなどの方法が考えられるでしょう。

2. メールが本物か確認する

まずは、メールアドレスや内容の確認など、通常の不審なメールの見分け方同様確認を行うことが望まれます。
その上でさらにセキュリティを担保するのであれば、口座情報の変更などが発生する場合には、電話やFAX、チャットなど、メール以外の方法で相手に確認することもおすすめです。

3. メールアカウントの適切な管理

これは、手口3の窃取メールアカウントの悪用に対して有効に働くものです。
具体的には、パスワードは管理ツールの利用や鍵やパスワードのかかったセキュアな場所で保管するなどの方法が挙げられます。
また、メールサービス側で設定可能であれば、二要素認証やログイン時の通知機能などを利用することもおすすめです。

4. 関係各所への連絡(被害に遭った場合)

これは対策ではありませんが、仮に被害に遭ってしまった場合には対応が求められます。
まずは、警察に相談したり、銀行に相談して送金を取り消してもらうなどの対応を取ることが望まれます。
また、取引先の会社がなりすましに利用されていた場合は、当該取引先にその旨を伝えて対応してもらうようにすることも大切でしょう。

まとめ

今回は、「情報セキュリティ10大脅威(組織編)」の第5位をご紹介しました。

前回から若干脅威としての順位は落としているものの、今回に関しては、この脅威が弱まったわけではなくコロナ禍の影響で他の脅威が強まったと考える方がよいでしょう。
コロナ禍に関係して言えば、リモートワークの普及など個人の判断で業務を行う機会が増えた分、脅威としても大きくなっていると考えるのが自然かもしれません。

また、この脅威は他の脅威に比べ被害時の影響が大きくなりがちです。
しっかりと対策を取って、被害に遭わないようにしましょう。

次回は、「第4位 サプライチェーンの弱点を悪用した攻撃」をご紹介します。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする