サイバーセキュリティ

サイバーセキュリティコラム

2018年12月28日

ビジネスメール詐欺

年末恒例のセキュリティ十大ニュースが発表された。読者には一年を振り返る意味で見て頂きたい。内容的に巻頭言にあるようにランクインしたニュースが昨年度と非常に類似しているのが特徴だ。これはニュースとして停滞しているわけだが、本当にサイバーセキュティの攻防が拮抗しているかは、分析されている様に非常に疑問だ。実は筆者は2~3年前から停滞感を持っており、「標的型攻撃メール対応に飽きたネ」等と業界人と話した記憶がある。

元々サイバー攻撃と言うのは取っ掛かりとして人間の弱点を利用するにしても、一部の例外を除いて純粋にネットワークを通じた技術的なアタックであって、攻撃手法はほぼ出尽くした感がある(と思いたい)。その意味で業界人としては停滞感を持つ訳だが、攻撃側が圧倒的な優位性を持つ中で、攻撃が本当に停滞しているかは、多いに疑問がある。

では一見停滞している様に見える中で、攻撃側は何をしているのか。此処からは筆者の仮説だが、攻撃側はターゲットを変えてきているのではないかと思う。ここ数年標的型攻撃は、機密情報の窃取をやってきた。だが現在は標的型攻撃の手法を絡めつつも、「金」に照準を移してきたのではないかと思う。例としては、バングラデシュの銀行へのアタック、ビットコインへのアタックが起きているようにだ。ただ「金」にターゲットを絞った場合、標的型などと七面倒臭い事をやらなくても、ビジネスメール詐欺(BEC : Business E-mail Compromise)で数億円を簡単振り込んでもらえるのだから、こんな楽な攻撃手法は無い。2017年だけでも千億円代の金が騙し取られたという。2018年にBECがランクインしないように願うとともに、対策を怠ってはならないだろう。(ビジネスメール詐欺は主に人間の弱点を突く攻撃で啓発が重要だが、何故BECが送られて来たのかは技術的な検証が必要で、又技術的な対策もある)

セキュリティ十大ニュース
http://www.jnsa.org/active/news10/

JAL振り込め詐欺被害
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/122001256/

BEC対策
http://www.npa.go.jp/cyber/bec/index.html

筆者紹介

岸田 明(きしだ あきら)

KMSコンサルティング代表。
大手IT企業や参議院事務局など、第一線でサイバーセキュリティ対策に携わってきたこの道のエキスパート。 2016年3月よりキューアンドエーワークス株式会社の顧問に就任。