ビジネスメール詐欺(BEC:Business E-mail Compromise)が国内企業を本格的に襲い始めた。ビジネスメール詐欺は企業版の振り込め詐欺。取引先などをかたった偽のメールを企業や組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる。

[画像のクリックで拡大表示]

 欧米では、既に大きな脅威となっている。米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)によると、2013年10月から2016年12月までのビジネスメール詐欺による被害は50億ドルに達するという。

 ビジネスメール詐欺は国内でも確認されているが、それほど深刻だとは思われていなかった。だが、もはや対岸の火事ではない。本格的に上陸したと考えるべきだ。

 ビジネスメール詐欺は、サイバー攻撃というより純然たる詐欺だ。言葉巧みに担当者をだまして金銭を振り込ませる。担当者がだまされるのをシステムで防ぐのは難しい。担当者の用心深さに任せるしかない。

 ただ、詐欺師がだまそうとする前の段階なら、セキュリティ製品で防げる可能性がある。その一つが、メールアカウントの乗っ取りを防止する製品やサービス(機能)である。ビジネスメール詐欺では、詐欺師はターゲットとした担当者あるいはその取引先などのメールアカウントを乗っ取り、メールの内容を盗み見する必要がある。

 アカウントを乗っ取るための常套手段はフィッシング詐欺だ。偽サイトのリンクを記載した偽のメールを担当者に送って偽サイトに誘導し、ユーザーIDとパスワードを入力させる。

 アカウントの乗っ取りを防ぐのに効果的なのが、メールサービスでの二要素認証(多要素認証)の利用である。ユーザーIDとパスワードだけではログインできないようにしておけば、メールを盗み見されるリスクを大幅に下げられる。

 いつもとは異なる端末(IPアドレス)からログインがあると警告する機能の利用や、ログイン履歴の確認も効果がある。

この先は会員の登録が必要です。今なら有料会員(月額プラン)登録で6月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら