【かんたん解説】BEC(Business E-mail Compromise)に該当するものはどれか。

情報セキュリティマネジメント試験

問題

「出典:令和元年度 秋期 情報セキュリティマネジメント試験 午前 問1」

ア 巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送り,金銭をだまし取る。
イ 送信元を攻撃対象の組織のメールアドレスに詐称し,多数の実在しないメールアドレスに一
度に大量に電子メールを送り,攻撃対象の組織のメールアドレスを故意にブラックリストに登録
させて,利用を阻害する。
ウ 第三者からの電子メールが中継できるように設定されたメールサーバを,スパムメールの中
継に悪用する。
エ 誹謗中傷メールの送信元を攻撃対象の組織のメールアドレスに詐称し,組織の社会的な信用
を大きく損なわせる。

かんたん解説

BECって「ビジネスメール詐欺」って言うらしく、要はフィッシングメール詐欺の一種です。

JALがその昔、3.8億円ほど被害にあったみたいで相当可哀想なのですが、

犯人はJALと取引先のメールとの間のビジネスメールのやり取りに割り込んで、取引先になりすまして、犯人の口座に振り込ませました。2017年9月には旅客機のリース料について、海外の金融会社になりすました犯人が、偽の請求書をJALに送信しました。偽の請求書には「振込先の口座が香港の銀行に変更された」と記載されており、JALの担当者は約3億6,000万円を指定された口座に振り込みました。また、8月には貨物の業務委託料について米国にある貨物事業所に支払先口座の変更を伝えるメールが送信されました。JALの担当者は変更された香港の銀行口座に約2,400万円振り込んでしまいました。

https://cybersecurity-jp.com/column/29527

ってことがあったらしいです。

当の被害者であるJALのメールアカウントがやられたわけではなく、取引先のメールアカウントがやられているってこともポイントですよね。攻撃者は、それまでの取引先とJALとのメールのやりとりを見た上で、偽メールをしたのでしょう。

セキュリティレベルは、当社だけではなく、サプライチェーンである取引先も全部含めての、一番下のレベルになってしまうという例ですね。自分のところだけ守っていちゃだめで、関係先含めた底上げが必要なんですね。みんなで成長しよう。

ということで、正解は(ア)です。

コメント

タイトルとURLをコピーしました