2019/02/26
近年、仮想通貨を狙ったマルウェアをはじめ、盲点を突くビジネスメール詐欺や不正アクセスを用いた企業に対する攻撃などが増えました。この傾向はさらに拡大すると考えられます。
メールのセキュリティ対策が万全であれば安心と考えられがちですが、不正アクセスの手段は年々進化しています。
特にカスタマーサポートは外部から様々なメールを受け取っていますが、そのメールに直接関わるスタッフだけが不正アクセスに対する知識を持っていればいいわけではありません。組織としていかにメールの管理をしておくかという点が不正アクセス防止に役立つのです。
今回は、2018年に頻発した不正アクセスの具体的事例や、今後横行すると予測されているビジネスメール詐欺(BEC)の手口や被害例、さらには無料のクラウドメールを企業内で利用する危険性についてお伝えします。
2018年に注目を集めた不正アクセス
2018年には、企業、公共施設、学校等、ジャンルを問わず、様々な形での不正アクセスが事件となりました。その一部を紹介します。
- ・仮想通貨取引所コインチェック
仮想通貨「NEM」(日本円で580億円相当)が流出 - ・講談社、朝日新聞社Twitter
アカウントが乗っ取られ、ビットコイン詐欺の宣伝に流用 - ・NTTドコモ
dポイントカード番号が流出し、3万5千件を利用停止 - ・京都教育大学
学内メールシステムより、迷惑メール36万通送信 - ・GMOペパボ
店舗オーナーなど最大9万件の個人情報流出
メールが不正アクセスされた事例
不正アクセスには様々な事例がありましたが、その中からメールがターゲットになった事例として、2018年12月に発覚した大手飲料メーカー内での個人情報漏洩の事件を見ていきましょう。
発覚のきっかけは、外部から「不審なメールが届いた」との連絡を受けたことでした。その後の調査により、第三者による不正ログインが発覚。この時に不正使用されたメールアドレスは、新卒採用のために使用していたものでした。
被害としては、中国語や英語にて作成されたメール115件を外部に送信。さらに1,000人を超える新卒採用候補者の個人情報や、グループ会社内の従業員の氏名などが閲覧された可能性が高くなりました
この原因は脆弱なパスワードの使用によるものでした。現在、同社ではパスワード管理教育の徹底が行われているとのことです。
2019年はビジネスメール詐欺(BEC)が横行する兆し
それではなぜ、2019年はビジネスメール詐欺(BEC)が横行する可能性が高いのでしょうか。その理由として、2018年9月、情報処理推進機構(IPA)が初めて日本語で記述された偽メールを確認したことと深い関係があります。
以前は、偽メールといえば英語で書かれていることが一般的でした。つまり、海外に拠点を持つ企業、海外と取引がある企業が主にターゲットとなっていたということです。
2017年12月には日本航空が偽メールで約3億8千万円の詐欺被害を受けたことを明かしました。支払いの担当者を装った、航空機のリース料の請求書を受信し、日本航空は9月に約3億6千万円を送金。同年8月と9月には地上業務の委託料として、振込先の変更を指定され、合計約2,400万円の詐欺被害を受けています。
このような事態は、日本語での偽メールが出回り始めたことによって、決して人ごとではなくなりました。中小企業や海外との取引がない企業であっても、いつこのような事態が起きてもおかしくないでしょう。
ビジネスメール詐欺(BEC)の手口と被害例
手口として最も多いのが、情報通信技術を使用せずにパスワードなどを盗み出すソーシャルエンジニアリングです。以前から、なりすまして電話をかけパスワードを聞き出す行為や、肩越しにパスワードを盗み見るといった行為は存在していました。そして現在、増加しているのが、標的型攻撃メールです。
組織の担当者が業務に関係するメールだと思い開封するように、ウイルス付きのメールを巧妙に作り込み、機密情報を盗み出しているケースが後を絶ちません。
2018年2月には、海外のカンファレンスのブース出展に関するメールをやりとりしている日本企業が被害に遭っています。事務局担当者になりすました該当人物より、偽の口座情報が記載されたメールが送信されました。
また、2017年6月、請求側である日本国内の企業と、支払い側である海外企業との取引において、日本企業の担当者になりすまし、海外企業に支払いを求めるといった事例もあります。
ビジネスメール詐欺の被害は、送り手、受け取り手、どちらの立場にもなり得ることを知っておく必要があるでしょう。
個人用Gmailなど無料のメールソフトを業務用として利用する危険性
一見便利に見える無料のクラウドメールですが、業務用として使用するには適していません。その理由としては、以下のような点が挙げられます。
企業のIT部門の管理下にない
バックアップやアーカイブ、セキュリティ保護の対象からも外れているため、コンプライアンス違反となります。企業の管理が及ばないサーバー上にデータが保存され、登録者本人しか確認できないといった状態になります。
不正アクセスの対象となる可能性
Google自体がいくら不正アクセスを防ぐ対策をとっていたとしても、Gmailにログインするパスワードが別の場所から漏れる可能性は十分にあります。Gmailはモバイル端末からもアクセスできますから、休日に自分のスマホからアクセス・・・といったことも可能です。無料のWi-Fiを利用することで、パスワードが外部に流出する事例も少なくありません。そういった点からも、安易にGmailを利用することは推奨できません。
ビジネスメール詐欺は組織的な対策が有効
メールは、ビジネスにおいて重要なコミュニケーションツールであることは間違いありません。だからこそビジネスメール詐欺は、今後ますます巧妙化することでしょう。
企業としてまずやるべき対策は、個人用メールツールの利用を停止し、完全に組織としてメールを管理することです。企業のメール管理に適しているのがメール共有・管理システム「メールディーラー」です。セキュリティや利便性に不安や不満を感じながらも個別のメールにてカスタマーサポート業務を行っている企業に対し、不正アクセスへの対策と効率アップを兼ねた提案を行っています。興味をお持ちの方は、ぜひお気軽にお問い合わせください。
▼ご相談・詳細資料・無料トライアルはコチラ▼
https://www.maildealer.jp/inquiry/
※本サイトに掲載されている情報は、株式会社ラクス(以下「当社」といいます)または協力会社が独自に調査したものであり、当社はその内容の正確性や完全性を保証するものではありません。
