7payへの不正アクセスを始めとする各種コード式決済サービスを狙った攻撃や、EU一般データ保護規則(GDPR)違反の有無も気になるリクナビ問題など、大きな組織が運営するサービスの問題が次々と明るみに出ています。これら最新の脅威の話題に関しては、ぜひ一通り目を通してみてください。これらの問題は、いつ自分の組織で発生するか分かりません。「知らなかった」を「聞いたことがある」に変え、万が一の際の、初期対応に生かしてほしいと思います。
また、最新の脅威に併せて怠らないでいただきたいのが、トレンドニュースに乗らないインシデント情報のキャッチアップです。今回はそれらの中でも、もしかしたら過去の話だと思っている方も多いかもしれない脅威、「ビジネスメール詐欺」についてご紹介いたします。
手を替え品を替え…あなたを狙うBEC
ビジネスメール詐欺(BEC)とは、ビジネス版のいわゆる「オレオレ詐欺」です。狙った組織に侵入してメールのやりとりを前もって盗聴しておき、標的の商習慣や組織構成を把握、そこから得られた情報を基に関係者を装うメールを従業員に送って、不正な口座に金銭を振り込ませる犯罪です。2017年末に日本航空が約3億8000万円の被害に遭い、一大ブーム(?)となりました。
BECは日本航空の事例以降大きなニュースとしては報じられていないため、「そういえば、最近聞かなくなったな」と思われるかもしれません。しかし、BECの攻撃は、現在でも続いています。2019年7月に情報処理推進機構(IPA)から発表されたレポートで、非常に巧妙な手口が報告されていました。2019年2月に発生した「新規の海外取引先企業を詐称する攻撃」です。
これまではBECといえば「請求書の振込先を変更させる」のが常とう手段と思われていました。しかしこの事例では、価格修正を装って「正しい見積書を送る」と称し、攻撃者の振込先口座が書かれた偽の見積書を送付、詐欺メールにはご丁寧に、「先に送った見積書は破棄してください」という指示がありました。振り込みを実行する担当者が、正式な見積書と比較できないように細工されていたのです。
IPAの報告によれば、攻撃者はメール攻撃を実行する前に組織内部に侵入し、メールの内容や内部情報を盗んでいた可能性が高いようです。このような被害に遭わないためには、マルウェア対策や迷惑メール対策といった徹底とともに、銀行の担当者に確認する、おかしいと思った人が正しくエスカレーションできる報告ルートを整備するといった、ITの仕組み以外でのセキュリティ対策も実施しておく必要があるでしょう。
サイバーセキュリティは「公衆衛生」
今回のレポートは、IPAが経済産業省の協力の下に運営する情報連携体制「サイバー情報共有イニシアティブ(J-CSIP)」の運用状況を紹介する一環で発行されました。J-CSIPはIPAをハブとして、重要インフラ機器製造業や電力、ガス、航空、物流など、13の産業分野グループと249の参加組織で、サイバー攻撃などの情報を共有する試みです。
私は以前、サイバーセキュリティは「公衆衛生」のようなものだと述べました。
もはやサイバー攻撃は、組織や企業ごとの個別対策では対応ができない状況にあります。同業他社や異業種の企業と手を取り合い、サイバー攻撃に対抗する仕組みを構築するべきです。攻撃が行われた手口を共有すれば、たとえ自社が被害に遭っても、他社、他業種にとっての生きた対策になるかもしれません。そして、誰かの被害も自社の糧になるのです。インターネットにつながる者たち全員で手を取り合い、サイバー犯罪者に立ち向かうこと。それが、サイバーセキュリティにおける「協業」です。
これは、いわゆるコンシューマー向けサービスの「利用者」という立場であっても同様です。われわれは、それぞれの個人が、例えば「パスワードを使いまわさない」「強いパスワードを使う」「OS、ブラウザ、アプリのアップデートを怠らない」「バックアップをする」「最新の情報を手にいれる」といった対策によって、その公衆衛生の輪の中に入る努力を続けなければなりません。
セキュリティ対策における最大の敵は、「知っているつもり」「やっているつもり」という慢心です。特にBECは、電子決済やプライバシーの問題とは異なり、メールを使った取引をしている人全てが標的にされる可能性があります。「自分が被害に遭うはずがない」などと思わず、今できることをやっていきましょう。まずは日頃の情報収集から!(ITmedia)