皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日IPA（独立行政法人情報処理推進機構）が行った『偽口座への送金を促す「日本語」のビジネスメール詐欺（BEC）事例』に関するプレス発表は、今後、企業規模や業態を問わず国内のあらゆる企業・組織が標的になる可能性があるとしているものです。

今日はそれに関してお伝えします。

IPAがプレス発表したBECの注意喚起

IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、標的型攻撃メールの情報共有の枠組み、J-CSIP（サイバー情報共有イニシアティブ）の参加企業から、2018年7月に日本語によるビジネスメール詐欺（以後、BEC）の情報提供を受けました。国内の企業・組織は、その規模、業態を問わず、標的として捉えられている可能性があると考えられます。
そこで、改めて“ビジネスメール詐欺”について注意喚起を行うと共に、新たな事例と手口を詳細に解説するレポートを公開しました。
※　BEC（Business E-mail Compromise）

今回発表されている事例では、メールの差出人に当該企業の実際のCEOの名前とメールアドレスが用いられ、詐称されてたことと、本文中に『金融庁の取り決めにより』や『弁護士にもカーボンコピーで送信』などの表現を用い、依頼に従わせるための巧妙な内容であったとされています。

情報提供者がこのメールに返信したところ、『国際送金の必要がある』と記載されており、内容はすべて日本語によるものであったようです。

この情報提供を受けIPAは、

BECは手口が悪質・巧妙なだけでなく、金銭被害が多額になる特徴があります。一方、システムやセキュリティソフトによる機械的防御、偽メールの排除が難しく、被害抑止が困難です。よって被害の防止には、決済処理を行う経理部門等がこの手口を認識することが重要です。また、決済のチェック体制の再確認と整備、および以下の対策の徹底が求められます。

としています。

このようなものへの対策として、以下の記載があります。

＜対策＞
１．普段と異なるメールに注意
・不審なメールは社内で相談・連絡し、情報共有する

２．電信送金に関する社内規程の整備（チェック体制の整備）
・急な振込先や決済手段の変更等が発生した場合、取引先へメール以外の方法で確認する

３．ウイルス・不正アクセス対策
・セキュリティソフトを導入し、最新の状態にする
・メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しをしない
・メールシステムでの多要素認証、アクセス制限の導入を検討する

詳細に関しては、以下のレポート3章に記載の『ビジネスメール詐欺への対策』で確認できます。

ビジネスメール詐欺「BEC」に関する事例と注意喚起（続報）

皆さん、情報共有しながら注意しましょう！

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週末からあらゆるメディアで報じられている仮想通貨の不正流出事件はご存知かと思いますが、この仮想通貨取引所である『コインチェック』、安全対策などに不備があったことで金融庁から業務改善命令がでるようです。

では、いったい何が問題だったのでしょうか？

セキュリティの甘さが招いた事件

この事件、起こるべくして起きた事件であると言えるでしょう。

この仮想通貨取引所である『コインチェック』は、国際団体が推奨する『マルチシグ』という技術を採用しておらず、かつ、顧客の口座をインターネットに常時つなげたまま管理していたようで、『マルチシグ』の導入と、顧客の口座をインターネットに接続していないコンピュータで管理していたのであれば事件は防げたと思われます。

※　『マルチシグ』とは、複数に分割された秘密鍵で、アクセスの際には一定数以上の鍵を合わせる必要があり、複数の署名が必要であることからセキュリティ性が高いとされています。

同社の代表は、『他に優先すべきことがあった』、『技術的に難しく、対応できる人材が不足していた』などと釈明しているようですが、仮想通貨業界からは、『通常では考えられない』と批判の声が上がっています。

これ、関係者でなくても誰にでもわかる、『あり得ない』と思える話しです。

さて、今日の投稿で申し上げたかったことはこの企業の批判ではありません。

セキュリティを甘くみると非常に痛い目にあってしまうということを改めて認識していただきたかったことが趣旨です。

事業規模によってやれること、やれないことがあるでしょうが、このネット社会、常にセキュリティに対する意識を持ち続け、最低限の安全性は確保することができなければ問題が発生する確率は高まります。

この事件を機会に、改めて社内のセキュリティをチェックし直してみるのも良いでしょう。