事例で学ぶセキュリティインシデント（第6回）危うく引っかかるところだったビジネスメール詐欺

　ビジネスメール詐欺を防ぐ第一の方法は、メールを悪用した詐欺のリスクがあるのを理解することだ。その上で、請求書や支払先の銀行口座が通常と異なるなど詐欺が疑われる場合、送信元の取引先の担当者に確認する。

　攻撃者から送られてきたメールをそのまま返信したり、メールに記載された携帯電話番号に電話したりすると、攻撃者にだまされる恐れがある。そのため、取引先の担当者や上司の名刺などで電話番号を確かめたり、取引先の代表電話に電話をかけたりして担当者本人に直接内容を確かめるといった手順が必要だ。

　取引先のメールアドレスに似せた偽のメールアドレスが使われることもある。攻撃者は正規のメールアドレスの文字を入れ替えるなど、ちょっと見ただけでは偽のメールであることが分からないようにする。メールの内容が疑われる場合、メールアドレスが本物かどうか疑い、確かめる必要がある。

　そして、ウイルス対策と同様に「不審なメールの添付ファイルは開かない」「攻撃者に不正利用されないように複雑なパスワードを設定する」「ウイルス対策ソフトやパソコンの基本ソフト（OS）は最新の状態に更新する」などの基本的なセキュリティ対策をきちんと講じる点も大切だ。

取引先のメールが攻撃者に盗み取られた

　では、冒頭で紹介したF社の話に戻そう。同社は、アジアをはじめ海外のさまざまな国・地域から生活雑貨などの商品を輸入している。買い付けは商品企画部門の担当者が年に数度、出張したり、日本語が通じる現地のバイヤーに依頼したりして競合の卸売業とは一線を画すユニークな商品を取り扱ってきた。

　同社の情報システム担当者は管理部門を兼務しているが、セキュリティを含めたITの構築・運用を担っている。連絡してきた経理担当者も同席し、最初にメールを受け取った商品企画部門の担当者に経緯を聞いた。請求書の内容は特におかしなところはなく、送金先の口座番号の変更についても疑いを持たずにいつものように請求書を経理担当者に回したという。

　経理担当者が送金先の銀行口座の変更を不審に思い、情報システム担当者に相談したことで、今回のインシデントが発覚した。経理担当者が現地のバイヤーに口座変更の理由を確認したところ、そのような事実はなく、詐欺メールであることが明らかになった。

　ただ、請求書の内容については、バイヤーのメールが攻撃者に盗み取られた可能性があり、情報システム担当者はその旨をバイヤーに伝え、セキュリティ対策の強化を依頼した。

　幸いにもビジネスメール詐欺の被害を未然に防いだものの、情報システム担当者はインシデント経緯について経営層をはじめ全従業員に伝え、メールの取り扱いについて改めて注意を促した。具体的には、取引先からの請求書や注文書などに限らず、不審なメールを受け取った場合、上司や情報システム担当者に報告するなどのルール徹底を通達した。また、攻撃者は乗っ取った正規のメールアカウントを悪用してメールサーバーに不正アクセスし、取引先とのやり取りを盗み見るリスクもあるため、メールアカウントのパスワードを推測されにくいものにしたり、定期的に変更したりすることも注意喚起した。そして、攻撃者のなりすましを防ぐため、送信元の身元を証明する電子署名などの導入を検討することとした。

　メールは業務に欠かせない社内・社外とのコミュニケーション手段だ。しかし、メールを悪用した標的型メール攻撃やウイルスの感染経路になるリスクがあり、メールだけに頼らない情報のやり取りを考える必要がある。F社では、社内・社外とファイルをやり取りする手段としてクラウドストレージの導入を検討し、商品カタログなどメールでの送受信が難しい大容量データや、商品の発注書・請求書などの重要な文書についても、安全にやり取りが実現する環境の構築に向けて取り組みを模索している。