Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録 サービス
オンライン注文
  • ICT Business Online TOP
  • セキュリティ
  • “人の脆弱性”を狙った攻撃が増大、日本でも被害が その社長は本物ですか? “なりすまし”で億単位の金銭を奪う「BEC」

“人の脆弱性”を狙った攻撃が増大、日本でも被害がその社長は本物ですか? “なりすまし”で億単位の金銭を奪う「BEC」

印刷

BEC対策には、システムとアナログの併用が効果的

BECはマルウェアの類を一切使用せず、ソーシャルエンジニアリングの手法のみで莫大な金銭や重要な情報を得ることができるため、その数は増える一方です。そのため、前述のように入念な準備を行うものだけでなく、公開情報を元にした安直なBECも見受けられるようになりました。このように安直なBECであれば、本文やメールのヘッダーなどをチェックすることで、容易に見破ることができるでしょう。また、入念に準備されたBECであっても、システムと人の両面から対策を行うことで、BECに気づく可能性が高くなります。

具体的には、送金や重要な情報を送信する際の社内ポリシーを策定することから始めます。例えば、一定額を超える送金処理を行う場合には、複数の役職で稟議を通すようにする、振込先の変更があった場合には、送金先に電話をするなどして本人確認を必ず行う、メールだけでなく書面も必要とする、といったところです。もちろん、従業員にセキュリティ教育を実施することも重要になります。

システム面での対策としては、メールに送信者ドメイン認証(DKIM、SPF、DMARC)を導入することで、不正なメールサーバによるドメイン詐称メールを検知することができます。また、登録された口座以外への振込を禁止するなど、システム上で制約を設けることも効果的です。こうした対策には、例えばNTT Comが提供する「WideAngle マネージドセキュリティサービス」の「コンテンツセキュリティ」や「コンサルティング」などが活用できます。なお、ソーシャルエンジニアリングの手法を使った攻撃はBECだけではありません。いわゆる「ばらまき型」のスパムやフィッシング詐欺などでも使われる手法なので、これらについても併せて対応が必要です。

サービス案内

  • 総合リスクマネジメント

    "ファイアウォールやIPS/IDS、アンチウイルスなど、ご要望の高いネットワークセキュリティやコンテンツセキュリティを一括してアウトソーシングできるパックメニューです。 セキュリティ運用基盤(SIEM)とリスク分析官による相関分析で、ファイアウォールなど機能単体での運用では気がつかない未知の脅威をあぶりだします。"

    WideAngle マネージドセキュリティサービス

  • 総合リスクマネジメント

    経験豊富なセキュリティエキスパートが企業のリスクマネジメントにおける現状と課題を抽出し、解決に導くソリューションです。グローバル統一手法によりセキュリティリスクを調査・把握し、改善からモニタリングまで総合的にサポートする「コンサルティング」、セキュリティインシデント発生時における被害拡大防止や復旧支援を行う「レスキューサービス」、ICT環境の弱点を可視化する「脆弱性診断」で構成されます。

    WideAngle プロフェッショナルサービス

この記事のキーワード