社内SEの実態を公開

【そのメール詐欺かも】口座変更のお知らせ【注意】

»

「振込口座の変更のお知らせ」

ある日、担当者らしき人から口座を変更してほしいとの連絡がメールでやってきたようです。メールの内容をみて変更をし、送金したら、詐欺メールだった!こんな話がここ2~3年増えてきています。


手口は巧妙です。メール本文に単純に口座の変更の旨を書くだけではなく、正式な書類に見せかけたPDFを添付し、サインも偽造されているケースもありました。メールのやり取りが何らかの方法で流出し、関係書類を抜き取られていると思われます。


改めてここで申し上げるのも場違いかもしれませんが、口座変更・送金前に担当者に電話で確認するだけで防げるケースも多いです。どうしてもメールで確認する場合でも、怪しいメールには返信せずに、新しくメールを作成して、担当者のメールアドレスに送信しましょう。


ビジネス詐欺メールは海外と取引を行う企業に多いようです。


とある海外の事務所で数千万円の被害が出てしまいました。現地の人も何が何だかわかりません。日本の本社に報告します。本社の人達も状況の把握に右往左往です。おおよそ全容がわかってきたところで、再発防止策を考えなくてはなりません。本社の対応メンバーが啓蒙活動に世界中を飛び回ります。


情シスにも調査依頼や対策を求められます。正直システム的な対応には限界があると考えています。クラウドの共有サービス使おうが、チャットツールを入れようが、盗み見られたらどんな手段を使っていてもアウトですから。2種類以上の通信手段を用いて確認すること、これが最も効果があると思っています。しかし、何らかのシステムを導入すれば防げると思っている人達がいて困っています。対策ツールを入れれば「メール送信するのに手間がかかる」とクレームを言われる始末。板挟みです。


以前、@ITでも大変盛り上がったパスワード付圧縮ファイルのパスワードを次のメールで送るのは無駄だという議論。一昔前まではある程度有効かもしれませんが、盗み見る人は一連のメールの流れを見ています。次に受信するメールにパスワードがあれば、それを見て開いてしまうでしょうね。それでも社内規定に「パスワード付圧縮ファイル云々」を定めている企業は多いでしょう。無駄かもしれませんが、それに代わる負荷が増えない効果的な代替手段が明記できないからだと推測します。


IPAの「情報セキュリティ対策のガイドライン」には
「重要情報をメールで送る時は重要情報を添付ファイルに書いてパスワード 保護するなどのように、重要情報の保護をしていますか?」
と記載がありますが、パスワードの伝達方法にまで言及していません。
一方IPAの「ビジネス詐欺メール(BEC)に関する注意喚起」では
「送金を実施する前に、電話や FAX などメールとは異なる手段で、取引先に事実を確認することを勧めます。 」
という注意喚起に留めています。多くの企業も同様なのではないでしょうか。


「先ほどメールを送った件ですが、ご確認頂けましたでしょうか?」という電話をウザったいと思うこともありますが、意外と詐欺には有効かもしれません。ビジネス詐欺メール+オレオレ詐欺ビジネス版が出てきたら、被害も大きくなりそうで恐ろしいです。

Comment(0)

コメント

コメントを投稿する