武闘派法律家飯田一 みんなの法律トラブル相談窓口 かけこみユニオン支援ボランティア03-6265-6349無料 元自衛官司法書士 感謝ありがとう

司法書士飯田はじめ  依頼者の困り事いろんな法律トラブルを解決した時の感謝が生きがい

あなたのメールも“完コピ”される――JALすらハマった「ビジネスメール詐欺」の恐ろしさ・・・こわい

以下記事転載

 

www.itmedia.co.jp

あなたのメールも“完コピ”される――JALすらハマった「ビジネスメール詐欺」の恐ろしさ (1/2)

偽メールにだまされ、3億8000万円ものお金を失ってしまった日本航空。まさに“企業版オレオレ詐欺”とも言うべきものですが、やりとりをほぼ“完コピ”したメールを見抜くのは、皆さんの想像をはるかに上回る難しさなのです。

2017年12月26日 07時00分 公開
 
 
 
 

 年の瀬の忙しいタイミングを見計らったのか、震え上がるような事件が起こりました。日本航空JAL)が「偽メールにだまされ」、3億8000万円もの被害を受けたというニュースです。

 この問題は本当に深刻なもので、セキュリティ業界では「ついに日本でも起きたか」という受け止め方が一般的です。ついうっかりというレベルの話ではなく、「ダブルチェックなどを徹底している、日本航空ほどの企業ですらだまされてしまう」と受け止めるべきでしょう。この魔の手は、あなたのすぐ近くにまで来ているのです。

     photoトレンドマイクロの調査では、2017年9月調査時点で13.4%の組織がビジネスメール詐欺を受診している

オレオレ詐欺の企業版? 「ビジネスメール詐欺」の恐ろしさとは

 今回のような事件の背景には、ビジネスの中でやりとりされるメールを使った「ビジネスメール詐欺」(BECとも呼ばれる)があります。ビジネスメール詐欺とは私たちがよく受け取るような「サングラス激安!」という単純なものではなく、あらかじめ企業のネットワーク内に侵入し、やりとりされるメールの内容や宛先を研究し尽くした上で、取引に関するメールがやりとりされた瞬間に送られる「詐欺メール」です。

 もちろん、文面はネイティブな日本語を使っている上に、内容によっては書き手のクセなどもきっちりコピーしてきます。特に今回のケースでは、メールアドレスも「本物とほぼ見分けがつかない状態だった」(JAL広報部)とのこと。忙しい時に、この“ほぼ完全コピー”の詐欺メールを“偽物”だと判断できるでしょうか? 正直に言って、私には自信がありません。

JALへの取材をもとに、一部内容を変更いたしました。(12/26 13:40)

     photoビジネスメール詐欺のステップは、マルウェア感染などを通じ「企業のメールを盗み見る」ことから始まり、それを元に「なりすまし」が行われる(出典:トレンドマイクロ
     photoメールの本文は、盗み見た「本物」をベースにして作られるため、文面だけでなく文脈にもそった「なりすましメール」が送られる(出典:トレンドマイクロ

 今回は取引において「振込先を変更する」ことがトリガーとなり、偽の口座情報にまんまとだまされてしまいました。NHKニュースによると、サインなども記されていたとのことです。その概略や具体的な手法は、まだ明らかになっていなかったものの、既に海外ではビジネスメール詐欺における被害が報告されており、遅かれ早かれ、日本でも甚大な被害が出るだろうと予期されていました。

 ビジネスメール詐欺は、これまでの迷惑メールとは比べものにならないレベルで、サイバーとも言い切れない直球の“詐欺”を行うものです。決して「だまされた人の注意力が足りないから起きる」わけではありません。先日取り上げた講演でも述べられていましたが、「事故を起こした人を責めない」ことが重要なのだと思います。

「企業がオレオレ詐欺にだまされてるwww」という人こそ、深刻さを知るべきだ

 問題はビジネスメール詐欺を「どう防ぐか」です。これに関しては、即効性のある薬は存在しません。重要な施策として、アカウントに侵入されないよう「キーロガー対策を行う」、ITの力で「メールの中身をチェックし、怪しいものを検出する」というものは有効でしょう。しかし「何かを導入したら100%防げる」というソリューションはありませんし、そううたう製品があったとしたら、それこそが“詐欺”かもしれません。

 サイバーが絡んでいようといまいと、「詐欺」に対しては、知識で対処する必要があります。そのためにはまず、日本航空には事細かな事件の詳細を報告してほしいと思います。これは単なる報告という枠を超え、もはや「社会貢献の一環」という意味合いになるかもしれません。

 日本航空から渾身のレポートが出てきたとしたら、次は私たちの番です。全社員が「いつか誰かにだまされるかもしれない」という前提のもと、今回のような事例を糧に、より「セキュリティ意識を高める」ことが、ビジネスメール詐欺を防ぐ第一歩になるはずです。

 そして、仕事をしている中で、少しでも普段とは異なるプロセスを見つけたら、その「違和感」を必ず誰かに報告してください。誰に報告すべきかピンとこないならば、そのルートを決めることこそが最初の仕事になるでしょう。ビジネスメール詐欺はその成功率を上げるため、あらかじめ企業内に「侵入」することから始めます。そこは、従来のマルウェア検知での「違和感」があれば、ビジネスメール詐欺も未然に防ぐことができるかもしれません。

 忙しい時期こそ、こういった詐欺行為が成立します。年末の大変なタイミングですが、日本航空の一件は「企業版オレオレ詐欺」といったような、キャッチーな言葉に惑わされず、「決して他人ごとではない」という認識を持ってください。

著者紹介:宮田健(みやた・たけし)

    デジタルの作法『デジタルの作法』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法~1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディアクラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。