企業向け詐欺メールが増加中
iCloudのサインインそっくりの画面が出てくる
というメールが届いたことはありませんか?
メールには「静岡県からアクセスされている」と書かれています。
「静岡へは行ったことがないし、こりゃ誰かが私のIDで不正アクセスしているんじゃないか、まずい!」
とメールに書かれているリンクをクリックすると、IDとパスワードを入力する本物そっくりの画面が出てきます。
あわてて入力すると……。
IDとパスワードが盗まれてしまいます!!
Apple製品を持っていなくても慌てますから、Apple製品のユーザにとっては殊に心臓に悪い詐欺メールです。
佐川急便、楽天カードなどを装った詐欺メールも報告されています。
いずれもクオリティが高く、一見すると本物と見分けがつきません。色づかいまでそっくりです。
細かな点を確認していくと詐欺だと分かりますが、このクオリティであれば間違って添付ファイルを開けたり、リンク先をクリックして個人情報を入力したりする人も多いでしょう。
かつては、”いかにも詐欺”というメールでしたので、すぐに分かりましたが今は見抜くのが難しい詐欺メールばかり、困ったものです。
最近、これらの詐欺メールでは、一般消費者よりも企業を狙う例が多く報告されています。企業相手だと詐欺が成功した時の金額が大きくなり、だます側のインセンティブが働きます。
ビジネスメール詐欺で3億8000万円をだまし取られたJAL
日本航空(JAL)がビジネスメール詐欺で約3億8千万円をだまし取られる
JALに届いたのはメールの請求書。やり取りしている担当者の文体によく似ており、内容についても不審な点がなく詐欺メール特有の違和感がありませんでした。
要件はアメリカの金融会社からリース契約で導入しているボーイング777の支払いに関するものです。支払口座を香港の銀行に変更したいと通知がありました。
いつもの送信元アドレスではなかったので、担当者がメールで問い合わせをすると、いつものメールアドレスから「口座変更は本当だ」というメールが届いたため、安心して支払いました。後日、本当の請求があり、詐欺が発覚します。
犯人は事前調査を入念にしている
担当者とのやり取りなどが、どう漏洩したのか原因は分かっていませんが、おそらくアメリカの金融会社、もしくはJALのパソコンがウイルス感染したのでしょう。ウイルスに感染させてもすぐ悪さをするわけではなく、メールの内容を盗み見したり、キーボード入力を記録する「キーロガー」などを使ってパスワードを盗み出します。パスワードが分かれば、メールアカウント自体を乗っ取ることができます。
担当者間のメールのやり取りをずっと分析すれば、相手がよく使う言いまわしや定型文章などが判明しますので、相手になりすまして見破りにくい文面を作ることができます。手間暇はかかりますが、3億8000万円をだまし取れるのであれば、十分に元はとれます。
仮想通貨取引所・コインチェックから580億円相当の仮想通貨ネム(NEM)が不正流出しました。発端はパソコンのウイルス感染でした。コインチェックの複数の従業員に標的型メール攻撃が届きます。流し読みした何人かが、メール本文のリンクをクリックしたり、添付ファイルを開いてしまったようです。これでパソコンが感染し、コインチェックのネットワークに入って、ネムの秘密鍵を窃盗したことから不正流出となりました。
海外ではメールのなりすましは簡単にできる
アメリカ大統領になりすましてメールを送れる
このルールを「25番ポートブロック」といい、必ずメール受信(パスワードで本人認証が行われる)してからでないとメール送信できない仕組みにしています。これはメール送信そのものには認証がなく、簡単になりすますことができるのを防ぐ策です。
ですが、このルールに加盟していない国内のプロバイダーや海外のプロバイダーは対象外です。このルールがない環境では、メールアカウント自体を乗っ取らなくても、簡単にメールのなりすましができます。やり方は簡単で「自分のメールアドレスを変更する」だけです。
例えば「president@whitehouse.gov」というメールアドレスに変更して送れば、相手はアメリカ大統領からのメールと誤認します。
JALの担当者がだまされたように、「取引先のいつものメールアドレス」からメールが送られてきたからといって安心はできません。
詐欺メール対策の基本は、社員のセキュリティ教育
メールを使う全ての従業員をしっかりセキュリティ教育しましょう。例えば拡張子「.exe(イグゼファイル)」はプログラムそのもので、こんな拡張子がついた添付ファイルをダブルクリックしたら、自分からウイルス感染をしにいっているようなものです。
ある会社でセキュリティ研修を開催したのに、イグゼファイルを開いてウイルス感染してしまった社員がいました。
システム管理者が「”イグゼファイル”を開いたらダメだと言ったでしょう」と叱責すると、社員からは「”イグゼファイル”なんか知りません、開いたの”イーエックスイーファイ”ルです」と回答が返ってきたそうです。
システム担当者にとっての常識は、一般社員の常識ではありません。相手が理解できる言葉で丁寧に分かりやすく教育するしかありません。
学校や職場ではドメインとホストの違いや拡張子について教えていませんので、新人や中途社員が入ったり社員が異動したりするタイミングで定期的にセキュリティ教育を行いましょう。
気になったことは相手に電話
口座変更の連絡などは電話確認しましょう。今は金融機関で口座開設する場合、本人確認がしっかり行われていますが、昔、いろいろな金融商品を売るためにたくさんの名義が必要だった時代がありました。金融機関では顧客に子供の名前はもちろん、ペットの名前まで使って口座を作らせていたのです。もちろん顧客からの要望ですが、金融機関も口座が増えて儲かったのでやっていました。マイナンバー制度とともにそういった口座は減っていますが、今も一部は健在です。
こういった休眠口座のようなものが名義変更して犯罪に使われたり、販売されたりしています。つまり「口座名義が相手の名前でも信用できない口座もある」ということです。
口座変更の連絡があれば、メール本文の署名にある電話番号”ではなく”、名刺などで電話番号を調べ、本当かどうかを担当者に”口頭で”確認しましょう。
関連ガイド記事
メールはあてにならない!届かないメール日本人がなんと最低!あなたのネット常識力は?
