このレッスンではサイバー攻撃の手口のうち、
- メールによる攻撃
- 内部不正
について解説します。
メールによる攻撃
ビジネスメール詐欺
ビジネスメール詐欺とは、
取引先企業などになりすましてメールを送り、
金銭を騙し取るサイバー攻撃です。
攻撃者はあらかじめ、
社内や取引先とのやり取りを監視し、
綿密に情報収集をおこないます。
収集した情報をもとに、「振込先の口座が変更になりました」
など偽物とはわからないメールを送り入金させます。
自社の経営者になりすますビジネスメール詐欺もあります。
例えば経営幹部を装った攻撃者から指定の口座に送金を命じられ、
送金してしまうケースもありました。
2017年にはJALがビジネスメール詐欺に遭い、
3.8億円を騙し取られたとニュースで報道されました。
このように大手企業であっても騙されてしまうのです。
このような攻撃には、
まずはセキュリティに関する社内教育が必要です。
すでに起こった被害事例などを共有したり、
支払いの承認プロセスをしっかり確立して、
巧妙なメールにも騙されないように注意することが大切です。
ワンクリック詐欺
ワンクリック詐欺は、
Webサイトやメールなどに記載されたリンクをクリックしただけで、
「登録完了」「ご入会ありがとうございます」などの契約成立を表示し、
高額な金額を請求する詐欺です。
お金を請求してくる時に、
IPアドレスなど、個人を特定していると見せかける情報も記載し、
支払いを迫ります。
この場合、相手に連絡を取ると連絡先などを知られてしまうため、
何もせずに無視をします。
スパムメール
スパムメールは、受信者の意向を無視して、
一方的に送りつけてくる迷惑メールのことです。
スパムメールが送られる原因は、
悪意のある送信者が何らかの方法でメールアドレスを収集したか、
またはランダムに生成して一括送信しているためです。
スパムメールは開かないようにしましょう。
もし開いてしまった場合でも、
メール添付されたリンクをクリックするとウイルスに感染する恐れがあるので、
絶対にクリックしないようにしてください。
また、個人情報などを入力することも避けましょう。
内部不正
サイバー攻撃で注意しなければならないのは、
見知らぬハッカーなど外部の人間だけではなく、
内部の人間も然りです。
内部不正が起こる理由は、
セキュリティが甘く、簡単に実行できてしまうことが理由の1つです。
しっかりセキュリティをしているようでありながら、
社内の管理や監視が形骸化している場合だと犯行がしやすくなります。
こういった犯行は、「待遇が悪い」など会社への不満からも
起こる可能性があります。
内部不正の手口は主に2つあり、
1つは不正アクセスです。
これはアクセス権が適切に管理されておらず、
職務以上の情報が閲覧できてしまったり、
異動時にアクセス権の変更ができていなかったりすることが原因です。
もう1つは、USBの持ち出しやメールの添付などでの外部への持ち出しです。
しかし、アクセス権の管理を徹底する、
持ち出しの制限をかける、操作ログを監視するなどをしても、
それ以外のところでは内部不正は対策をするのが難しく、
対策をしても動機と機会さえあれば誰でもできてしまうのが実情です。
次のレッスンも、サイバー攻撃の手口について学習を進めます。
