「古典的な対策」がBEC被害を防ぐ
BECが台頭した理由を染谷氏は、メールの普及による業務の効率化が背景にあると指摘する。
トレンドマイクロ 上級セキュリティエバンジェリストの染谷征良氏
「以前なら、支払い先口座情報の変更といった連絡は、担当者が対面した相手から直接受けたり、電話で依頼されたりしていた。現在はメールだけで必要なドキュメントも送れるので、担当者がわざわざ確認することが減っている」
また、染谷氏が直接相談を受けたという国内の製造業のケースでは、東南アジアの現地法人に現地の取引先を名乗る相手から入金依頼を持ち掛けられ、国内の担当者が不審な点に気が付いたという。「海外では、地理的に離れた相手と直接会わないで取引することが一般的なだけに、BECはまず海外で流行したのだろう」という。
BECはメールを使うサイバー犯罪でありながら、実は人をだますという点で古典的だ。染谷氏は、被害を防ぐのも古典的な対策が有効だとアドバイスする。
「支払い先口座の登録や変更の際に、必ず稟議を上げて複数の管理者が承認するルールやプロセスを徹底する、担当者が電話などで直接相手に確認するといった、本来すべきことを順守することが被害の回避につながる」
BECの被害が拡大しているのは、担当者がそもそもBECという犯罪自体を知らないこともあるという。企業や組織がまず講じるべきは、全ての従業員にBECの脅威を理解させ、上述のような対策の順守を周知徹底させることだという。
「メールアカウントがハッキングされるようなケースにも、やはり脆弱性の解消や推測が難しいパスワードの設定といった基本的なセキュリティ対策を確実に実施していただきたい」と染谷氏。また、自社がBECの被害に遭うだけでなく、企業名や実在する従業員の名前を悪用されるケースもあり、取引先にも自社の対応手順を説明したり、BECへの注意を呼び掛けたりすることが重要だとしている。
