中小企業を釣り上げる詐欺の手口

中小企業の社員を狙う、よくある攻撃の手口とは。

インターネット上には、一般の人々を狙う詐欺だけでなく、企業に勤務する人々をだまそうとする詐欺も存在します。退職した高齢の人々よりも現役の会社員をだます方がずっと難しいのですが、それでも、現役の会社員から見込まれる収益率の方がはるかに大きいのです。そのため、中小規模の企業を狙う詐欺は後を絶ちません。

詐欺の手口は山ほどありますが、すでに効果が実証されている手口がバリエーションを変えて使われることがほとんどです。そこで、よくある手口を見ていきましょう。

釣り餌の種類

サイバー犯罪者にとって重要なのは、メールを受け取った人がメールを読むだけではなく、それに反応することです。要するに、リンクをクリックする、添付ファイルを開く、請求額を支払う、というアクションを受け手に起こさせたいのです。そのためには、相手の心をがっちり掴まなければなりません。そこで、危機感や期待感をあおる内容のメールが「釣り餌」としてよく使われます。

税務署からの通知

税金の一部が未払いである、という内容のメールです。メールに記載された請求額には、利息が追加されています。不服を申し立てるには、添付のフォームをダウンロードして必要事項を記入し、提出しなければなりません。しかし、このフォームには実はマクロが仕込まれていて、マクロを有効化すると(ポップアップ通知の[同意する]ボタンを反射的にクリックしてしまう人は多いものです)、マルウェアがダウンロードされて実行されます。

多くの事業者は税務署を恐れていて、指摘事項には無条件に従わねばと感じているものです。しかし、ここは勇気を持って向き合いましょう。税務署からのメールを何通か読んでみれば、本物と偽物の違いが分かってきます。また、所轄の税務署がよく使う連絡手段がメールなのか電話なのかを把握しておくとよいでしょう。

支払い保留に関する通知

税金を全額納付し、業者への支払いも済ませてあるなら、先ほどのようなメールに引っかかることはないかもしれません。しかし、支払いが通らなかったという名目の通知が来ることもあります。請求書を再発行したので再度支払うようにと要請する内容かもしれませんし、どこかのWebサイトへのアクセスを促す内容かもしれません。

不審なリンクへのアクセスは、セキュリティ製品で阻止できます。しかし、請求額の二重支払いを阻止できるのは、あなたの常識だけです。

謎の業者からの提案

何かを売り込む営業メールは、大量の宛先に向けて、かなり無作為に一斉送信されるのが普通です。このうち何通かに反応があるのを期待しているのです。こういった営業メールのように見せかけた詐欺メール(何か商品やサービスの詳細情報が含まれると思わせて悪質な添付ファイルを開かせようとする)も、やはり、誰かが反応してくれることを期待して送りつけられているのです。

セキュリティサービスからの通知

このタイプの詐欺は、主に、さまざまな場所に支社を持つ企業に対して仕掛けられます。支社の社員は、本社の人々がどのような人たちで何をしているのか、あまりよく知りません。そのため、「最高セキュリティ責任者」などという重々しい肩書の人からセキュリティ証明書のインストールを指示するメールを受け取ったとき、多くの人は、偽物のアドレスから送られたメールであることに気づかず指示に従ってしまうことでしょう。言われたとおりに証明書をインストールしたら、完全に詐欺師の思うつぼです。

釣り針にかかってしまったら何が起きるのか

フィッシング詐欺の主な目的は、あなたの認証情報を窃取することです。目的としてはシンプルですが、目的達成のためにメールで送り込まれるマルウェアのタイプはさまざまです。よく見られるのは次のタイプです。

RAT

リモートアクセスツール(RAT)は、サイバー犯罪者が好んで使用するツールです。RATを通じて企業のネットワークに侵入すれば、文字どおり何でもできます。例えば、さらに別のマルウェアをインストールして、重要な文書を盗み、経理部長のコンピューターを探し出し、支払いシステムへのアクセス情報を手に入れ、最終的に自分の口座へ送金することが可能です。

ランサムウェア

ランサムウェアは、ファイルを暗号化して使用不能にします。そのため、重要な文書を参照できなくなったり、大事なプレゼンテーション資料を表示できなくなったりという不都合が生じます。ランサムウェアの中には、1台のコンピューターに侵入した後、届く限りの範囲にあるコンピューターのデータを暗号化していき、ローカルネットワーク中に感染を広げるものがあります。その上で攻撃者は、ファイルを元に戻したければ身代金(ransom=ランサム)を払えと要求します(「ランサムウェア」という名前はこれに由来します)。実例を挙げると、米国メリーランド州ボルチモア市のコンピューターがランサムウェアの攻撃を受け、一部のサービスが完全に機能停止した事例がありました。すべてを元に戻す代償として攻撃者が要求したのは、10万ドルを超える金額でした。

スパイウェア

サイバー犯罪者は、企業内への侵入に、スパイウェアを好んで使用します。スパイウェアとは、情報をできるだけかき集めることを目的としたマルウェアです。コンピューターにひっそりと居座り、ログインに使われるユーザー名、パスワード、メールアドレスを記録し、メールや添付ファイルを収集します。テクノロジー関連の企業にとって最大のリスクは、ノウハウや計画が競合に漏れることでしょう。それ以外の業種の企業の場合は、会計システムへ侵入されて資金を盗まれることが一番のリスクかもしれません。スパイウェアは大企業にも被害をもたらします。数年前には、バングラデシュ中央銀行が8,100万ドルもの大金を盗まれるという事件がありました。

このような詐欺を回避するには

中小企業を狙うこのような詐欺の被害者とならないためには、基本的なセキュリティの対策が重要です。

ヒント