防犯のすゝめ

米の調査で判明したサイバー詐欺犯罪の巧妙な手口


アメリカの大手コンピュータ会社が、サイバー詐欺犯罪の手口についてレポートを公開しました。狙われたターゲットは、非常に巧妙な手口で詐欺に取り囲まれます。日本でも被害に遭う可能性は高く、これまで以上にサイバー詐欺犯罪への注意が必要です。

狙った人物を巧妙にだます、ソーシャルエンジニアリング手法の手口

アメリカの大手コンピュータ会社が発表したビジネスメール詐欺犯罪のレポートによると、大手500社を狙った数百万ドルに上る詐欺被害が発生しているとのことです。詐欺犯は、周到に用意したうえで犯罪をおこなうとのことで、その手口の巧妙さはこれまで以上に進化しています。

詐欺犯は、ターゲットにした企業の担当者とビジネスメールを通じて金銭を振り込ませようとします。これまでのように、マルウェアや脆弱性の悪用、攻撃ツールなどの技術的な手段は利用しません。代わりに、ターゲットにした人物を巧妙にだますソーシャルエンジニアリング手法を用いるのです。特徴としては、連絡先リストから直接あるいは偽装の送信がされていること、以前おこなったコミュニケーションを真似るか現在進んでいるコミュニケーションに割り込むことなどがあげられます。

取引先や関連企業から連絡しているように支払い口座の変更を依頼したり、上長になりすましてメールを送ったりすることもあります。そのように承認や書類にまで記入させ、正規の関係者になりすまして決済処理をおこなうのも常とう手段です。ターゲットにした相手のメール受信箱を監視する目的で、メールフィルタを新たに作成することもあります。このような不審な動きは、注意していればすぐにおかしいと気付く内容ですが、忙しくしているとうっかり見過ごしがちなことです。

手口を知って、脅威と感じることの重要性

コンピュータを通じて侵入する手口の他、オフィスに侵入し、ターゲットとする情報を収集する手口もあります。オフィスに侵入されれば、ゴミ箱を探したり、システムに不正侵入したりするのもさらに容易になります。オフィスへは、IDカードを偽造あるいは拾得すれば社員として侵入が可能です。他の社員の後ろについて侵入できる場合もあり、清掃員や回収業者になりすます詐欺犯もいます。正規の用事を装ってオフィスに入り、関係ない部署に侵入するケースもあるのです。

また、システム管理者になりすまして、ユーザIDやパスワードを聞き出す手口もあります。IT関係など、サイバー犯罪にある程度通じたオフィスワーカーであれば用心するのが当然のことでも、一般のオフィスではついうっかり情報を漏らしてしまうこともあるかもしれません。ユーザIDやパスワードは社内でも漏らさない、のぞき見にも注意する慎重さが重要です。詐欺の手口を知り、脅威と感じることも防犯の第一歩となります。

パスワードの管理などを徹底。のぞき見にも、要注意

詐欺の手口は、メールだけでなく電話や手紙、のぞき見、社員になりすますなどの幅広い方法でおこなわれています。不要になったメモや書類などを廃棄した後、ゴミ箱をあさられることもあるため要注意です。特にのぞき見は、オフィスではあまり親しくない人でも邪険にできないかもしれません。肩越しにのぞき見をすることからショルダハッキングと呼ばれる手口ですから、親しい人であっても注意するべきです。

安全なパスワードを作成することも大前提です。名前などの個人情報は含めず、言葉をそのまま使わないようにしましょう。アルファベットと数字を混在させて、想像もつかないような脈絡のない内容にするのも効果的です。また、パスワードを複数のサービスで使いまわさないようにすることも大切です。

サイバー詐欺犯罪は、ますます進化して身近に迫ってきています。自分は大丈夫と過信せず、何も盗まれるものなどないと思っても侵入されないように気を付ける必要があります。他のターゲットへの仲介役とならないよう、気を付けましょう。

この記事に関連する記事