TOPセキュリティ > ビジネスメール詐欺を防ぐための14のヒント(前)

セキュリティ

ビジネスメール詐欺を防ぐための14のヒント(前)

2021/01/13

Susan Bradley CSO

 先日、取引先の1社のメールアドレスから、インターネットFAX風のメールを受け取った。いかにも怪しいメールだ。弊社は通常、別のFAX専用番号を使用しており、こちらから指定しない限り、インターネットFAXの文書をメールで受け取ることはない。

Credit: Natali Mis / Getty Images
Credit: Natali Mis / Getty Images

 攻撃者は、この取引先のメールサーバーを乗っ取っただけでなく、自動返信のルールも設定していたようだ。受け取ったメールに返信してみたところ、メールは本物だからファイルを開いて指示に従うように、との返答が届いた。

 メールは何人かのスタッフに届き、不正なコンテンツそのものは含まれていなかった。スパムフィルターをすり抜けてメールが届いたうえ、自動返信のルールも設定されており、まさにビジネスメール詐欺(BEC)の事例だった。

 米インターネット犯罪苦情センター(IC3)によると、2019年のビジネスメール詐欺の被害額は、世界全体で17億ドルを超える。米連邦捜査局(FBI)のサイバー部門は最近、企業や組織に向けて、メールの自動転送を悪用したビジネスメール詐欺について注意を促す通達を出した。この中でFBIは、以下の14項目の推奨事項を提示している。

1:パソコンとWebのメールクライアントのバージョンをそろえる

 パソコンとWebのメールクライアントを、両方とも常に最新バージョンにそろえておけば、同期や更新の問題を防げる。両者に食い違いがあると、例えばWeb版のクライアントで不正な自動転送のルールが適用されても、パソコン版のクライアントからは攻撃に気づかない可能性がある。

↑ページ先頭へ