ひろしとアカリのセキュリティー事情 [2018/11/22]
上司や人事部からメールアカウントの確認を求められたら…
1
2
3
4
企業や団体を狙うメールの詐欺に要注意!
上司や人事部門といった社内に実在する人物や部署から突然、業務メールのアカウント情報(IDとパスワード)の確認を求めるメールが届いたら警戒してください。
これは、企業や団体に多額の金銭被害をもたらしているビジネスメール詐欺(BEC:Business E-mail Compromise)の可能性があります。
ビジネスメール詐欺は、経営幹部や取引先の実在する人物を装う業務指示メールを従業員に送りつけ、サイバー犯罪者が事前に用意した口座に不正に送金させたり、業務情報をだまし取ったりする詐欺の手口です。
サイバー犯罪者は偽の送金指示メールを送る前段階として、従業員のメールアカウントを乗っ取り、業務メールを盗み見します。これは、メールのやり取りから業務内容や取引先、取引内容を知ることで信ぴょう性の高い詐欺メールを作成するためです。また、取引先との見積書や請求書のやり取りがメールで普通に行われていることも、サイバー犯罪者にとっては都合がいいのです。
実際、業務にWebメールを利用している企業への攻撃では、経営幹部や人事担当者をかたって業務メールのシステムに再ログインを促すフィッシングメールを送りつけ、受信者を偽のログインページへ誘導する手口が確認されています。
もし、誘導先ページでアカウント情報を入力してしまうと、メールアカウントを乗っ取られてしまう可能性があります。また、メールアカウントの乗っ取りでは、受信者にメールの添付ファイルを開かせることでキーロガーと呼ばれるウイルスに感染させ、IDとパスワードを割り出す手口も確認されています。BECに引っかからないよう、以下のポイントを確認しておきましょう。
送金がらみのメールは詐欺を疑う
経営幹部や取引先の担当者などから緊急の送金や振込口座の変更、メールアカウント情報の確認を求めるメールを受け取ったら、その正当性を慎重に判断してください。メールに記載されている電話番号ではなく、いつも使用している電話番号に連絡するか直接本人に会って話すなど、メール以外の手段で事実確認をしましょう。
勤務先が定めるルールに従って行動する
経営幹部や取引先などから高額の送金や振込口座の変更をメールで依頼されたら、社内の承認プロセスを経るなど、必ず社内ルールに定められた手順に従って処理しましょう。
メールのURLリンクや添付ファイルを不用意に開かない
たとえ、経営幹部や取引先から届いたメールでも、無条件にURLリンクや添付ファイルを開いてはいけません。Webメールのサイトに見せかけたフィッシングサイトに誘導されたり、ウイルスに感染させられたりしてメールのアカウント情報を盗み取られる可能性があるためです。
Copyright © Trend Micro Incorporated. All Rights Reserved.