PR

 ビジネスメール詐欺(BEC:Business E-mail Compromise)が国内企業を本格的に襲い始めた。ビジネスメール詐欺は企業版の振り込め詐欺。取引先などをかたった偽のメールを企業や組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる。

[画像のクリックで拡大表示]

 欧米では、既に大きな脅威となっている。米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)によると、2013年10月から2016年12月までのビジネスメール詐欺による被害は50億ドルに達するという。

 ビジネスメール詐欺は国内でも確認されているが、それほど深刻だとは思われていなかった。だが、もはや対岸の火事ではない。本格的に上陸したと考えるべきだ。

 ビジネスメール詐欺は、サイバー攻撃というより純然たる詐欺だ。言葉巧みに担当者をだまして金銭を振り込ませる。担当者がだまされるのをシステムで防ぐのは難しい。担当者の用心深さに任せるしかない。

 ただ、詐欺師がだまそうとする前の段階なら、セキュリティ製品で防げる可能性がある。その一つが、メールアカウントの乗っ取りを防止する製品やサービス(機能)である。ビジネスメール詐欺では、詐欺師はターゲットとした担当者あるいはその取引先などのメールアカウントを乗っ取り、メールの内容を盗み見する必要がある。

 アカウントを乗っ取るための常套手段はフィッシング詐欺だ。偽サイトのリンクを記載した偽のメールを担当者に送って偽サイトに誘導し、ユーザーIDとパスワードを入力させる。

 アカウントの乗っ取りを防ぐのに効果的なのが、メールサービスでの二要素認証(多要素認証)の利用である。ユーザーIDとパスワードだけではログインできないようにしておけば、メールを盗み見されるリスクを大幅に下げられる。

 いつもとは異なる端末(IPアドレス)からログインがあると警告する機能の利用や、ログイン履歴の確認も効果がある。

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
有料会員と登録会員の違い