ビジネスメール詐欺(BEC:Business E-mail Compromise)が国内企業を本格的に襲い始めた。ビジネスメール詐欺は企業版の振り込め詐欺。取引先などをかたった偽のメールを企業や組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる。
欧米では、既に大きな脅威となっている。米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)によると、2013年10月から2016年12月までのビジネスメール詐欺による被害は50億ドルに達するという。
ビジネスメール詐欺は国内でも確認されているが、それほど深刻だとは思われていなかった。だが、もはや対岸の火事ではない。本格的に上陸したと考えるべきだ。
ビジネスメール詐欺は、サイバー攻撃というより純然たる詐欺だ。言葉巧みに担当者をだまして金銭を振り込ませる。担当者がだまされるのをシステムで防ぐのは難しい。担当者の用心深さに任せるしかない。
ただ、詐欺師がだまそうとする前の段階なら、セキュリティ製品で防げる可能性がある。その一つが、メールアカウントの乗っ取りを防止する製品やサービス(機能)である。ビジネスメール詐欺では、詐欺師はターゲットとした担当者あるいはその取引先などのメールアカウントを乗っ取り、メールの内容を盗み見する必要がある。
アカウントを乗っ取るための常套手段はフィッシング詐欺だ。偽サイトのリンクを記載した偽のメールを担当者に送って偽サイトに誘導し、ユーザーIDとパスワードを入力させる。
アカウントの乗っ取りを防ぐのに効果的なのが、メールサービスでの二要素認証(多要素認証)の利用である。ユーザーIDとパスワードだけではログインできないようにしておけば、メールを盗み見されるリスクを大幅に下げられる。
いつもとは異なる端末(IPアドレス)からログインがあると警告する機能の利用や、ログイン履歴の確認も効果がある。
