ビジネスメール詐欺が現実に、取引先を偽装:セキュリティクラスタ まとめのまとめ 2017年12月版(3/3 ページ)
2017年12月のセキュリティクラスタはメールに始まり、メールで終わりました。「Mailsploit」というメールクライアントの脆弱(ぜいじゃく)性が見つかり、検証サイトが公開されて実際の攻撃があったからです。既に海外では流行している「ビジネスメール詐欺(BEC)」では、とうとう国内でも大きな被害に遭った企業が現れました。セキュリティ人材では斎藤ウィリアム浩幸氏が経歴詐称のために注目を集めました。
日本航空が「ビジネスメール詐欺」の被害に遭う
メールを使用し企業を狙う、いわゆる「ビジネスメール詐欺」(SCAMあるいはBECという略称で呼ばれている)が、2017年から海外を中心に流行しています。
これまで日本国内ではそれほど大きな被害は報告されていませんでしたが、2017年12月に入り大きな被害に遭った会社が現れました。日本航空(JAL)です。巧妙に偽装された貨物事業所の地上業務委託料の請求と旅客機のリース料の請求メールにだまされて3億8000万円余りを振り込んでしまったというのです。
メール送信元が正規の取引先からのものであったため信用してしまったようです。セキュリティクラスタでは、そんなメールで簡単にだまされて何億も振り込みするなんて信じられないという意見だけでなく、巧妙なメールだからだまされても仕方ないという意見、正規の取引先をかたるメールが送信できるのは既に誰かのアカウントが乗っ取られているからではないかという意見、他の企業もだまされているのではないかという意見がありました。
経歴詐称で話題となった斎藤ウィリアム浩幸氏が執行役員を務めていた(12月22日退任)くらいだから、だまされても無理はないというツイートもありました。
翌日の23日にはスカイマークにも同じようなメールが送信されて危うくだまされそうになったことも明らかになります。今後も被害に遭う企業が増えてくるかもしれません。
この他にも12月のセキュリティクラスタは次のような話題で盛り上がっていました。2018年はどのようなことが起きるのでしょうね。
- go.jpの非SSLは脆弱性なのか
- SECCONのオンライン予選開催
- Webブラウザのプッシュ通知ってどうなの?
- 暗号化zipで後にパスワードを送信するソリューションってどうなの?
- DDoSしてるダークネス玉葱君
- ロジテックのブロードバンドルーターが危険
- セキュリティ人材に必要なのはコミュ力と英語力、そして好奇心!?
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.