事例で学ぶセキュリティインシデント（第20回）インシデントは思いがけないところから。偽メールに要注意

公開日：2025.01.14

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　関西で戸建て住宅などの建設業を営むT社。支店の女性社員から本社のIT担当者に電話がかかってきた。「取引先からのメールだと思い、添付ファイルを開いてしまったのですが、大丈夫でしょうか」。メールの内容は、取引先の事務所が移転したとの連絡で、移転先の住所や電話番号、URL、地図などは添付ファイルを参照するように書かれていた。女性は添付を開いたものの、心配になって本社に電話をしてきた。IT担当者はその取引先に電話連絡したところ、移転の予定もなく、メールも送っていない。IT担当者は役員に報告するとともに、全社員に不審なメールを開かないように注意喚起した。

フィッシングサイトにひっかかり誤って個人情報を入力

　そもそも、本社の営業部門や管理部門ではなく、どうして支店の女性社員に取引先をかたる不審なメールが届いたのか。IT担当者は女性社員に思い当たることはないか尋ねた。女性社員が記憶をたどると1週間ほど前、おかしなことがあった。いつも、使っているショッピングサイトから顧客情報の更新の連絡がスマートフォンに届いた。女性社員は何の疑いもなく、記載されていたリンクにアクセスして住所や氏名、勤務先、クレジットカード情報などの個人情報を入力してしまったという。

　近年、サイバー攻撃の中で増えているのがフィッシングだ。対象が主に個人であることから、企業・組織にとって直接的な攻撃であると認識されにくいが、フィッシングのメールやメッセージ、SNSを受け取ったことのある人は少なくないはずだ。

　一般の人が取引していそうな金融機関や電力会社、通信会社、クレジットカード会社などの名をかたり、正規のWebサイトをまねた偽のサイトに誘導して個人情報やクレジットカード情報、認証情報などを入力させる。攻撃者はその情報を悪用して物品を購入、転売して金銭を得たり、個人情報をダークサイトで販売したりして利益を得る。かつて、フィッシングサイトに誘導する日本語もおかしな言い回しが目立ったが、近年はAIを使って流ちょうな日本語になり、本物そっくりの偽サイトをつくり、だまされやすくなる傾向にある。文中に記載されたURLをクリックしてフィッシングサイトに誘導する他、QRコードを悪用してサイトに誘導するものもあり、フィッシングの手口も巧妙化している。

　IT担当者は女性社員の話を聞いて、おそらくフィッシングサイトに記載した勤務先名が攻撃者に悪用され、不審なメールが送られてきたと推察した。ただ、女性社員は添付ファイルを開いたものの、記載されていたURLをクリックすることなく、IT担当者に連絡してきたため、ウイルス感染被害は免れた。そして、IT担当者は女性社員にクレジットカード会社へ連絡して、事情を説明するようにアドバイスした。

業務に関係のある内容に偽装し添付ファイルを開かせる…

　T社のインシデントのように、メールを悪用した攻撃の脅威は下火になることがないようだ。攻撃者はメールの添付ファイルやメール本文に記載したリンク先にウイルスを仕込み、リンクに誘導してアクセスさせるなどでパソコンにウイルスを感染させる。最悪の場合、社内ネットワークに入り込んで他のパソコンやサーバーの重要情報を盗み取る。リンクにランサムウエアが仕込まれていた場合、感染被害を回復させるのも大変だ。

　メールを悪用した攻撃があることは理解していても、一向に被害がなくならないのは手口が絶えず巧妙化しているからだ。T社の女性社員のように取引先の名をかたり、メールの本文や件名は業務に関連する内容に偽装する。取引先の事務所移転は珍しいことではなく、移転先の新住所や地図、リンク先が記載された添付ファイルを開いても不思議ではない。

　ただ、T社にとって不幸中の幸いとも言えるのが、普段はそうした取引先からのメールを受け取ることがない、支店の女性社員にメールが届いたことだ。開いてみたものの、これまであまり受け取ったことのない事務所移転の内容だったため、本社に連絡したという。これが本社の総務部や経理部の社員であれば、何の疑いもなく添付ファイルを開き、リンク先をクリックしてウイルス感染していた可能性もある。

　この他、メールを悪用した振り込め詐欺、ビジネスメール詐欺の手口もある。攻撃者が自社の担当者や取引先になりすましてメールを送り、攻撃者が用意した銀行口座に入金させる。なんで、そんな手口に引っかかるのか疑問を持つ人もいるかもしれないが、「オレオレ詐欺」と同様に当事者は自分が詐欺に巻き込まれていることに気が付きにくい。

　攻撃者はあらかじめ、取引の請求処理を行う経理担当者の連絡先やメールの内容を盗み見して、本物に似せた請求書を送り付ける手口もある。いつもとは異なるのが、攻撃者が用意した金融機関の口座だ。経理担当者がそれに気づき、取引先に直接、電話をかけて確かめれば詐欺を未然に防げる。ただ、確認をメールで行う場合、請求書に記載されたアドレスが攻撃者のものであれば、「今回から振込先が変更になった」など、だまされる可能性もあるので注意が必要だ。

物件情報の保管・共有にクラウドストレージの活用を検討

　T社では、住宅の物件情報のやり取りにメールを活用してきた。今回のメールを悪用した攻撃未遂のインシデントを受け、メールのセキュリティ対策を強化するとともに、改めて不審なメールを受信した場合、直ちにIT担当者や上司に報告し、全社社員に注意喚起する態勢を確認した。

　また、メールに代わる物件情報などのやり取りにクラウドストレージの導入を視野に入れる。営業担当者はこれまで顧客に物件を案内する際、本社のファイルサーバーから自身のノートパソコンに物件情報を保存し、現地で情報を参照しながら案内していた。クラウドストレージで物件情報を一元管理できるようになれば、現地で顧客が他の物件情報を見たい場合にも、パソコンとインターネットを使って容易に対応でき、物件の比較検討、成約もスムーズに行えるようになると期待している。

　この他、T社では社内連絡のツールとしてビジネスチャットの活用を検討する。顧客・取引先とのやり取りにメールがなくなることはないが、他の情報伝達手段を組み合わせることで、よりセキュアで利便性の高いIT環境づくりを進めていく。