テレワーク、スマホ、メール狙う「サイバーセキュリティの罠」に気をつけろ。

新型コロナに便乗した「ビジネスメール詐欺」とは？

   新型コロナに便乗した詐欺や攻撃も増えている。テレワークの導入に伴い、業務フローを変更した企業も少なくない。それにつけこんだのが「ビジネスメール詐欺」だ。典型的な手口はこうだ。

   攻撃者はまず、2社の経理担当者がやりとりしている請求に関するメールを何らかの手口で盗聴する。そして、請求側の担当者になりすまし、支払い側に偽の口座を伝え、金銭を振り込ませる。

   海外では大規模な被害が報告されているが、国内の被害状況はあまり分かっていなかった。被害に遇っても企業が公表することはまれだからだ。

   国内のセキュリティー組織であるJPCERTが行った調査では、未遂を含めて117件の事例がわかり、請求額の合計は約24億円。企業名や詳細は明らかにしていないが、数百万円から数千万円規模の被害も発生しているという。

必ずしも万全ではないVPNのセキュリティー

   テレワークが普及し、多くの企業が頼りにしていたのが社外から社内ネットワークにアクセスできるようにするVPNだが、そのセキュリティーは万全ではないというのも驚きだ。

   国内のセキュリティー組織であるJPCERT／CCは、米フォーティネット、米パルスセキュア、米パロアルトネットワークスのVPN製品に、危険な脆弱性が見つかったと注意を呼び掛けた。

   脆弱性を悪用されるとコンピュータウイルスなどを遠隔から実行されたり、任意のファイルを読み取られたり、認証情報を取得されたりする恐れがある。

   いずれの製品も脆弱性を修正するプログラム（パッチ）は公開されているが、まだ対応していないユーザーも多い。

   とくに狙われているのが、パルスセキュア製で未対応のVPNサーバーは国内に1511台あったという。その後対応が進んだが、まだ危険なVPNサーバーは298件残っているという。悪用されたデータベースファイルの窃取やランサムウェアの感染がJPCERT／CCに報告されている。

テレワークが終わり、社内ネットワークに接続...ここにも危険が

   テレワークが終わり、通常勤務に戻り、社員が自宅で使っていたノートパソコンや外部記憶装置などが社内ネットワークに接続されることになる。ここにも危険が潜んでいるという。

   通常、自宅のネットワークは社内ネットワークよりもセキュリティーレベルが低く、ウイルス感染や不正アクセスのリスクが高い。自宅で使っていたパソコンを社内ネットワークにつなぐのは危険な行為であり、ウイルスが持ち込まれる可能性があるからだ。

   日本ネットワークセキュリティ協会はチェックリストを公開している。社内ネットワークに接続する前に、「セキュリティー対策が最新の状態か」「ウイルスに感染していないか」「無許可のソフトウェアがインストールされていないか」などを確認するよう勧めている。

   次々と編み出されるネット詐欺の手口。不在通知などを装う偽SMS（ショートメッセージ）を受け取った人も多いだろう。「お客様にお荷物のお届けにあがりましたが不在の為持ち帰りました」と宅配業者を名乗る手口だ。そこから、偽サイトに誘導する。この手口は報道されたため、別の宅配業者を名乗る手口も出ているそうだ。

   （ちなみに、こういった手口の踏み台にされないためには、Androidスマホなら、セキュリティー設定で、「提供元不明のアプリ」をオフにするといいようだ。）

   サイバー犯罪は現在、一つの産業になり、分業化が進んでいる、と警告している。

   手口は高度化する一方、スマートフォンの大方のユーザーにとって、セキュリティーは関心外のことである。「金銭を提供する」といったメールから出会い系詐欺サイトに誘導され、金銭をだまし取られる被害の相談は全国の消費生活センターなどに年間3000件も寄せられている。

   変わらない手口にだまされる人は絶えない、と著者は嘆いている。

（渡辺淳悦）

「すぐそこにあるサイバーセキュリティの罠」
勝村幸博著
日経BP
1980円（税込）