第2回:こうして私たちはだまされる? メール詐欺の主な手口

今回は「第2回:こうして私たちはだまされる? メール詐欺の主な手口」についてご紹介します。

関連ワード (メール詐欺を解剖する、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 身元を偽ってユーザーをだますメール詐欺・攻撃は、手口がシンプルながら攻撃者にとって効果的な手段として長年にわたって悪用され続けてきた。では、なぜ私たちは注意していてもだまされてしまうのだろうか。今回は攻撃者が身元を偽る主な手段を解説する。

 サイバー攻撃は増加の一途をたどっており、前回の記事で取り上げたさまざまな脅威の中でも、大きな被害をもたらしているのが「EAC」(Email Account Compromise:電子メールアカウント侵害)や「BEC」(Business Email Compromise:ビジネスメール詐欺)といったメール詐欺・攻撃だ。実は、これらの攻撃が世の中で大きく騒がれているランサムウェア以上に多額の被害をもたらしている。

 だがメール詐欺・攻撃は、ゼロデイ脆弱性(一般に知られていないソフトウェアなどのセキュリティ上の問題)の悪用といった技術的に高度な手段を弄しているわけではない。むしろ、手口自体は非常に単純だと言えるだろう。

 例えば、数万ドル規模の金銭を詐取したと言われる攻撃者グループ「TA2519」が展開したBECでは、受け取った人物の興味を引きそうな話題を盛り込んだメールを送りつけてマルウェアを仕込み、そのマルウェアを用いてIDとパスワードといった、ユーザーの認証情報を盗み取った。その後は、盗んだ認証情報を用いて本人になりすまし、頻繁にやりとりしている同僚や上司、取引先に偽のメールを送り、金銭を支払うよう仕向けていったという。

 既に大半の認証システムやメールシステムでは、セキュリティ対策として数回続けて認証に失敗すると不正アクセスと見なし、アカウントをロックする仕組みを備えている。このため、攻撃者が総当たり攻撃でアカウントの侵害を試みても、成功率は26%と、そこまで高くはない。これに対し、フィッシングなどでアカウント情報の詐取を試みた場合、成功率は65%に高まるという。

 では、なぜメール詐欺・攻撃の成功率は高いのだろうか。ユーザーをだまし、本物のメッセージらしく見せかける幾つかのなりすまし手法が使われていることが大きな理由と考えられる。主な偽装手法を説明しよう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Interop Tokyo 2022」のShowNet–多様化するネットワークの使い方
IT関連
2022-06-17 00:52
グラファー、スマホ活用で行政デジタル化を促進–利用自治体は100超に
IT関連
2022-02-25 00:18
欧州のAndroidの「選択画面」はより優れた選択肢を隠し続ける
ネットサービス
2021-04-04 23:31
グーグルがChromeのリリースサイクルを6週から4週に短縮
ソフトウェア
2021-03-07 18:50
クラウドセキュリティの底上げに貢献したい–インシデント経験のOktaが説明
IT関連
2024-03-20 11:15
NEC、生体認証と連携するIDプラットフォーム 入退室管理や店舗決済を自動化
DX
2021-01-16 02:57
「ゴルゴ13」ギネス世界記録に 「最も発行巻数が多い単一漫画シリーズ」として
くらテク
2021-07-10 05:50
グーグルの脆弱性報奨金プログラム、2021年の支払額は約10億円
IT関連
2022-02-16 06:23
レッドハットが事業戦略を発表–OpenShiftやAnsibleに注力
IT関連
2023-04-27 18:27
「Clubhouse」の音声データが中国当局に漏れる可能性が浮上、開発元はセキュリティ強化を実施
セキュリティ
2021-02-16 17:13
Kotlin 1.9.0リリース。生成されるWebAssemblyのサイズが10分の1、K2コンパイラがβ版に
Kotlin
2023-07-11 17:45
フォークボール落ちる謎、スパコンで解明 「負のマグヌス効果」
IT関連
2021-03-25 19:11
アライドテレシスとNTT Com、産業分野のセキュリティビジネスで協業
IT関連
2024-10-09 10:20
Spotifyが1100億円を投じて自社株購入へ、なぜ?
IT関連
2021-08-22 03:36