情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は2020年4月27日、「【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(第三報):IPA 独立行政法人 情報処理推進機構」において、「ビジネスメール詐欺」と呼ばれるサイバー攻撃に対する注意喚起を行った。IPAはビジネスメール詐欺に関して2017年4月および2018年8月にも注意喚起を行っており、今回は第三報の注意喚起となる。
ビジネスメール詐欺とは、取引先などの人物になりすまして巧妙なメールのやり取りを行い、企業の担当者を騙して偽の口座へ送金を行わせる手口。IPAは国内の企業や組織が本格的にビジネスメール詐欺の標的になりつつある兆候が見られると説明している。
ビジネスメール詐欺は手口が悪質および巧妙で、さらに被害金額が多額になっているとのことで注意が必要。IPAは、「敵は偽メールではなく、そのメールを送付している攻撃者(人間)であり、攻撃者は手口をアップデートしながら複数の組織へ執拗に攻撃を繰り返していると認識することが大切」と説明している。
ビジネスメール詐欺は巧妙に人を騙す手口であり、ソフトウェアなどによる機械的な防御が難しい。IPAはこうした状況を受け、次のような対策を推奨している。
- 普段と異なるメールに注意する。不審なメールは社内で相談、連絡、情報共有を行う
- 電信送金に関する社内規定を整備する。急な振込先や決済手段の変更などが発生した場合には取引先へメール以外の方法で確認を取る
- ウイルスや不正アクセス対策を行う(セキュリティ・ソフトウェアの導入と最新版の維持、推測されにくい強いパスワードを使うとともにほかのサービスと使い回しを行わない、メールに多要素認証やアクセス制限の導入を検討する)
こうしたサイバー攻撃は巧妙さを増しており、真偽の判断が難しいことがある。当局から提供される情報やセキュリティファームから発表される情報を常にチェックするとともに、随時対応していくことが望まれる。