eラーニング研修のことならばエデュテイメントプラネットにご相談ください

03-5941-5119 受付時間(平日)10:00~17:00
お問い合わせ 資料請求
プライバシーマーク
  1. 情報セキュリティニュース
  2. 情報セキュリティ:ビジネスメール詐欺の手口を公表

情報セキュリティ:ビジネスメール詐欺の手口を公表

2017.5.9


◇当コラムは弊社eラーニング教材「情報セキュリティ研修」に関連したテーマとなっております◇
……………………………………………………………………………………………………………………

■IPAが注意喚起

弊社コラム(2017年3月21日掲載記事)では、新たなメールに対する脅威として「ビジネスメール詐欺(Business E-mail Compromise:BEC)」が注目されていることをご紹介しました。

その「ビジネスメール詐欺」について、独立行政法人情報処理推進機構(IPA)は2017年4月3日、サイバー攻撃の情報共有の枠組みである「サイバー情報共有イニシアティブ(J-CSIP)」に参加している複数の参加企業から寄せられた情報をもとに手口の詳細とその対策を公表し、注意喚起を行いました。


■ビジネスメール詐欺とは

ビジネスメール詐欺は、勤務先の幹部や取引先などになりすまし、巧妙なだましの手口で送られたメールによって送金や決済を要求し、金銭被害をもたらすサイバー攻撃です。

IPAの注意喚起レポートによると、米国インターネット犯罪苦情センターには、2013年10月から2016年6月14日にかけて22,143件のビジネスメール詐欺被害が報告されており、その1件あたりの平均被害額は日本円で約1,600万円となっています。

日本国内でも2017年2月に逮捕者が出ており、実被害が確認されています。


■ビジネスメール詐欺の手口

IPAの注意喚起のレポートでは、J-CSIP参加企業から情報提供された4件の事例をもとに、ビジネスメール詐欺で使用されたメールの手口が紹介されています。

「alice@company-a.com」というメールアドレスが本物とした場合に使用された偽物のメールアドレスについてのパターンは以下の通りです。

(1)「alice@compnay-a.com」(メールアドレスを1文字入れ替える)
(2)「alice@companys-a.com」「aalice@company-a.com」(メールアドレスを1文字追加する)
(3)「alice@comp ny-a.com」(メールアドレスを1文字削除する)
(4)「alice@cornpany-a.com」(メールアドレスの一部を誤認しやすい文字に置き換える)
(5)「alice-company-a.com@freemail.com」(フリーメールを使いそれらしいメールアドレスを作る)

引用:ビジネスメール詐欺「BEC」に関する事例と注意喚起 ~ サイバー情報共有イニシアティブ(J-CSIP)の活動より ~
(独立行政法人 情報処理推進機構(IPA)技術本部セキュリティセンター ※PDFファイル)


さらにレポートでは、だましの手口について「請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時に騙す」、「メールの同報先(Cc等)も偽物に差し替え、他の関係者にはメールが届かないよう細工する」、「メールの引用部分にある、過去のメールのやりとりの部分について、都合の悪い部分を改変する」といった内容も紹介されています。


■手口を理解し、情報セキュリティの意識向上を

IPAの注意喚起レポートには「企業における送金取引に関係する担当者、特に経理・財部部門など金銭管理を取り扱う部門の担当者においては、ビジネスメール詐欺の脅威について知っていただくことが非常に重要」と記されています。

またビジネスメール詐欺は「技術的な対策による防止が難しく、一人ひとりが手口を理解し、『怪しさ』を見抜くことが重要」と明記されていることからも、不審なメールや様々な手法の攻撃に備えるため、情報セキュリティの従業員教育の必要性が高まっているといえるでしょう。

メールを駆使した巧妙なだましの手口は、営業秘密の詐取や標的型サイバー攻撃につながる可能性もありますので、金銭管理担当者に限らず、組織・企業の全従業員がビジネスメール詐欺の手口を理解し、情報セキュリティ意識を向上させることが求められます。

弊社eラーニング教材「情報セキュリティ研修」は、最新の事例を含め、従業員一人一人がどのようなことに気をつければいいのかを効率的に学べる内容となっています。

日本でのビジネスメール詐欺被害が本格化する前に、弊社情報セキュリティ研修をぜひご検討ください。



【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口
(独立行政法人 情報処理推進機構(IPA) 2017年4月3日)





◆EPでは、情報セキュリティの必要性と重要性を具体的に学べる【全社員研修対応】情報セキュリティ研修のeラーニング教材をご用意しています。研修ご担当者様ご自身でのカスタマイズも可能です。ご検討の際は、お気軽にお問い合わせください。

情報セキュリティ研修に関するお問い合わせ・資料請求はこちら


========<エデュテイメントプラネットのeラーニング研修サービスのご紹介>========

…………………………………………………………………………………………
EPは、人事・研修担当者さま向けに研修実施に役立つ最新トピックや、
eラーニング研修ツールの特設ページを開設しています! …………………………………………………………………………………………

■「マタハラ防止措置」の概要を示す「特設Webページ」はこちら■
2017年1月1日より、"マタニティハラスメント"に関する企業の防止措置が義務化されました!

■eラーニングの導入を検討している方にオススメしたい研修内製化ツール『GRONIA LMS』■
教材制作会社ならではのシンプル&リーズナブルなLMSを開発しました!

学習管理だけでなくPowerPointなどで作られた社内資料を
そのままeラーニング教材にできるツールがあれば便利ですよね!