ビジネスメール詐欺の被害が急増–被害にあった企業の8割はMFA未使用

今回は「ビジネスメール詐欺の被害が急増–被害にあった企業の8割はMFA未使用」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 ビジネスメール詐欺(BEC)攻撃が急増している。被害者の大半は、アカウントを保護するための多要素認証(MFA)を使用していない組織の従業員だという。

 BEC攻撃は、サイバー犯罪の中でも最も実入りのいい部類に入る。米連邦捜査局(FBI)によると、被害総額は430億ドル(約6兆2000億円)を超え、177カ国で攻撃が報告されている。

 BEC攻撃は、サイバー犯罪者が比較的簡単に行える。メールアカウントと少しばかりの忍耐力さえあれば、被害者をだまして、送金させることができるからだ。これは通常、上司や同僚を装って送金を指示するメールが手口として使われる。重要な取引を失わないよう、迅速に振り込みを依頼するもので、たいてい大きな金額だ。

 より巧妙なBEC攻撃の場合、社内のアカウントに侵入し、正規のメールアドレスを使って、送金を依頼する。

 また、犯罪者が長期にわたって受信箱を監視し、実際に取引が行われるタイミングを狙って、やり取りに割り込み、犯罪者の口座に支払いを誘導する場合もある。

 このようにして利益を得られることから、BEC攻撃を仕掛ける犯罪者は増えており、企業が被害に遭っている。サイバーセキュリティ企業Arctic Wolf Labsのアナリストによると、同社が対応したBEC攻撃の件数は、1〜3月から4〜6月の間に倍増し、調査したインシデントの3分の1以上を占めたという。

 そして、多くの被害者の間に共通項があることがわかった。それは、BEC攻撃の被害に遭った組織の80%がMFAを導入していなかったという点だ。

 MFAは、メールアカウントやクラウドアプリケーションにセキュリティレイヤーを追加できる。アカウントにログインしているのが正当なユーザーであることをユーザー自身に確認させるため、攻撃者が正しいユーザー名とパスワードを持っていても、不正な侵入を防ぐことができる。

 サイバーセキュリティ機関が幾度となく、MFAの導入を推奨しているにもかかわらず、未だに怠っている組織があるのはなぜだろう。

 Arctic Wolf Labsの脅威インテリジェンスリサーチマネージャーのAdrian Korn氏は、米ZDNetに対して、次のように説明した。「組織が中断することなく業務を継続しながらMFAを導入するには、慎重な計画と調整が必要だ。また、ユーザーにはMFAシステムの使用方法の教育が必要なため、組織によっては困難な場合がある」

 しかし、こうした難しさはあるものの、すべてのユーザーアカウントにMFAを適用することは、サイバー攻撃から従業員とネットワークを守る上で最も重要なことの1つだ。

 一方でMFAはサイバー攻撃を防ぐ上で役立つが、完璧というわけではなく、確固とした悪意を持つ犯罪者は回避する方法を見つけ出している。

 BEC攻撃は、ソーシャルエンジニアリングを使ってユーザーを欺き、正しいことをしていると思わせる。そのため組織は、正当なアカウントから送信されたメールでも不審な点がないか見極められるように、従業員を教育することが重要だという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
中国当局、配車サービス最大手を審査 習政権のIT統制強化進む
IT関連
2021-07-06 07:59
「AlphaZero」の先へ–強化学習によるロボット訓練、研究者が示した複雑さと期待
IT関連
2021-03-29 04:46
GMOインターネットがサイバーセキュリティ事業に本格参入、イエラエセキュリティを子会社化
IT関連
2022-01-25 04:13
Facebookの監督委員会はすでに「少し不満を感じている」、トランプ氏のアカウント停止については判断を保留
ネットサービス
2021-03-24 05:57
AWS LambdaのJava 8ランタイムがAmazon Correttoへ。OpenJDKから移行するとAWSが発表
AWS
2021-06-18 04:56
IoTへのユーザー支出額は2025年に10.2兆円–IDC予測
IT関連
2021-04-08 20:14
ソフトバンクロボティクス、AIやロボット技術を活用した物流自動化事業を開始
IT関連
2022-09-15 04:12
「G-SHOCKである」と主張するスマートウォッチ、「GSW-H1000」の真価
PR
2021-06-22 03:09
「自転車NAVITIME」が英語、中国語に対応
企業・業界動向
2021-02-05 09:04
EAがロシアとベラルーシでのゲーム・コンテンツ販売を停止、Origin、EA Appでの購入不可に
IT関連
2022-03-08 19:16
ノーコードでTerraformによるプロビジョニングを実現「No-Code Provisioning for Terraform Cloud」、HashiCorpがベータ公開。HashiConf Global 2022
HashiCorp
2022-10-11 00:37
全国のパン屋さんをD2C化するパンフォーユーが1.8億円調達、ベーカリー向けSaaS機能拡充
フードテック
2021-02-09 17:14
電動キックボードシェアの「Luup」が森トラストやESG特化型ファンドなどから約20億円調達
シェアリングエコノミー
2021-08-18 17:04
ポケモンGO、2日間の「イーブイ」大量発生 進化方法の一時的な変更に注意
くらテク
2021-08-13 18:00