企業や個人を狙うセキュリティ犯罪が急増。2020年はコロナ関連でさらに増える可能性も

セキュリティ意識が重要

shutterstock

IPA 情報セキュリティ白書2020が発表された

 IPA(独立行政法人情報処理推進機構)の『情報セキュリティ白書2020』が9月の上旬に出た。2008年から毎年発行されている本で、その時期のセキュリティの国内外のトラブルの事例が多く掲載されている。  同書で扱っている時期は2019年度。コロナ禍以降のIT世界の変化については、その多くは来年の情報セキュリティ白書に掲載されるだろう。あくまで前年度の情報という点は留意する必要がある。  『情報セキュリティ白書2020』は印刷書籍版もあるがPDF版もある。PDF版は、アンケートに答えると入手できる。全体版と章別版があり、章別版を利用すると、自分が興味のある場所だけを読みやすい。  章別版の第1章は個人を対象とした内容が多い。第2章は政策や企業レベルでの国内外の話が中心だ。第3章は情報システムやIoT、クラウドなど産業的な内容と、青少年を取り巻くネット環境を扱っている。  第1章には、身近な事例が豊富に掲載されているので、この章を中心に、最近のセキュリティ犯罪の手口を見ていこう。

個人が狙われるさまざまな事例

 まず、最初に書いてあるのが、フィッシング詐欺ビジネスメール詐欺だ。phishingと書くフィッシング詐欺は、偽の電子メールやウェブサイトで、個人情報を入手する詐欺だ。ビジネスメール詐欺は、メールのなりすましなどにより、狙った企業などを騙す手口だ。  不特定多数か、狙った相手かの違いはあるが、メールなどの手段で個人情報や金銭を狙うという意味では、似た手法だと言える。もう1つ、マルウェア Emotet による、ばらまき型メールの攻撃についても多くのページが割かれている。  以降、ビジネスメール詐欺から内容を見ていく。 【ビジネスメール詐欺】  ビジネスメール詐欺の対象は企業だ。そのため、個人を狙うフィッシング詐欺よりも被害金額が大きくなりやすい。犯罪者にとっては、成功したときの金額が大きいので、旨味のある攻撃だ。白書には、企業内のメールを装ったり、企業間のメールを盗み見て詐欺を働くといった事例が掲載されている。  企業内のメールを装う方法としては、CEO や経営幹部になりすまし、送金権限を持つ財務や経理の担当者に指示を送るものが報告されている。この手の詐欺は「CEO 詐欺」と呼ばれる。見るからに怪しい内容でも、一定の確率で騙されるので油断してはいけない。  企業間を狙う方法としては、新規取引先の見積書の、価格修正を装う攻撃がある。偽の口座を書いた見積書を「価格の修正」と称して送り付ける詐欺だ。  偽の口座に振り込ませる手口は、いくつかのパターンがある。請求書や見積書に誤りや修正があったと連絡する方法。銀行口座が国の監査を受けている、為替レートの問題がある、クレジットカードの支払いができなかったなど、通常とは異なる振り込み方法を要求する方法。秘密の案件などを理由に、送金を求める方法などである。  この中では、請求書や見積書についてのものが見破りにくいだろう。適切なタイミングでこうしたメールを送るには、メールの盗聴が不可欠だ。詐欺の瞬間だけでなく、事前の盗聴を防ぐなど、日頃からの防御が必要になる。  ビジネスメール詐欺の対策としては、送金処理のチェック体制強化がある。通常とは違う連絡を受けた際、別の担当者とダブルチェックをする。また、ネット以外での連絡確認をする。そうしたチェック体制を日頃から作っておかなければならない。  また、ビジネスメール詐欺ではないが、ランサムウェアの動向にも触れられている。ランサムウェアとは、マルウェアで暗号化したデータの身の代金を要求する手法だ。2019年度は、工場の制御システムや、自治体の電話回線、金融システムなど、大金が得られそうな相手を狙うケースが目立っていた。ビジネスメールと同様に、大きな金額を狙う犯罪が増えているのだろう。
次のページ
急増するマルウェア「Emotet」って何?
1
2
3