NHK9時のニュースで「ビジネスメール詐欺」が増えているというニュースをやっていました。
海外の取引先との取引で代金支払いの直前に送金先口座を変更してほしいというメールを受けて変更先に送金してしまうという手口です。
ニュースでは500万円という金額でした。
中小企業ならこれが原因で倒産してもおかしくない金額です。
なぜこういうことが起きたのか?を考えてみたいと思います。
責任のほとんどは担当者にあるように思えますが、ことはそんなに単純ではありません。
情報セキュリティのセミナーなどでは「不審なメールが届いたら相手に確認する」ということを必ず聞いているはずです。
担当者がこのことを怠ったために誤って送金してしまったものと思われます。
海外相手で金額も大きいのでメール内容とともに送金先も電話などで確認するべきでした。
その他は組織の責任です。
まず、情報セキュリティに対する指導をしていたか? セミナーなどを受講できる環境にあったか? ということが挙げられます。
担当者が独学や無学で情報セキュリティに対処できるほど今の環境は優しくありません。
組織が強制的に情報セキュリティに対する知識を習得させるべきです。
担当者が習得できなければ、担当者を変える必要まであります。
もう1つ、今回はメールの内容が偽物と疑う理由がないほど詳細に渡って同じ内容だったと言われています。
考えられることは、メールの盗聴です。社内にスパイがいるとなれば別ですが、それはまた違う分野の犯罪です。
以前のブログでも書きましたが、今多くの中小企業でやり取りされているメールの使い方には大きな問題があります。
暗号化せずに送受信する、受信メールをサーバに残す、パスワードが短い、などなど盗聴し放題です。
POP3というメールの受信プロトコルには、通常パスワードを何回か間違ったらロックアウトするという機能がありません。
そしてアカウントはメールアドレスの前半部分かアドレス全体ですので、パスワードを順番に試していけばいつかはパスワードがバレます。
いったんパスワードがバレれば、そのメールは受信し放題です。
環境や性能に左右されますが、英数字8ケタのパスワードの場合3日から1週間でパスワードを突き止められるという話もあります。
その他にも無線LANを使っていたり、ネットワークの管理がずさんだったりするともっと簡単に盗聴できる場合もあります。
POP3とSMTPの使用を辞めて、暗号化されたPOP3sとSMTPsを使用する。
Exchange Onlineなどセキュリティのしっかりしたメールサーバを使うなどの対策を明日からでも検討し、できるだけ早く導入するべきです。
以上のことから、担当者以上に組織としての責任が大きいことが分かると思います。
組織がきちんと指導したにも関わらず、担当者がその責務を果たせなかったかもしれませんが、多くの場合は組織の指導不足が多い気がします。
コメントをお書きください