連載
» 2017年09月13日 08時00分 公開

情報セキュリティの深層:新たな脅威「ビジネスメール詐欺(BEC)」とは? (1/2)

実在の組織や人物をかたったメールで従業員をだまし、サイバー犯罪者が管理する口座へ不正な送金処理をさせたり、特定の情報をだまし取ったりする「ビジネスメール詐欺(BEC)」が広がりつつあります。

[山外一徳(トレンドマイクロ株式会社),ITmedia]

 第1回「企業はランサムウェアの攻撃に備えて何をすればいいか」、第2回「Webサイトを守るために企業が実施すべき対策とは?」と、多様化するランサムウェアやWebサイトを狙ったサイバー攻撃について解説してきました。最終回となる今回は、全世界で大きな被害をもたらしている新たな脅威「ビジネスメール詐欺(BEC)」について知っていただきたいと思います。国内での認知はまだまだ高くありませんが、着実に日本企業に迫ってきている新たな脅威について解説します。

ビジネスメール詐欺(BEC)とは?

 ビジネスメール詐欺(以下、BEC)は、企業の従業員をだまし、サイバー犯罪者が管理する口座へ不正な送金処理をさせたり、特定の情報をだまし取ったりする詐欺です。一般的な詐欺と異なるのは、サイバー犯罪者が、標的とする企業のメールを盗み見ることで、そこから得られる企業の情報を悪用して被害者をだまそうとする点です。

図1:ビジネスメール詐欺の例 図1:ビジネスメール詐欺の例

 このBECには大きく2つの特徴があります。1つ目は、サイバー犯罪者がさまざまな攻撃を用いて企業のメールを盗み見ること。そして2つ目は、ソーシャルエンジニアリングを用いた偽の送金指示メールを送ってくることです。

 サイバー犯罪者が企業のメールを盗み見る手口には、標的企業のメールサーバへの攻撃、キーロガーやフィッシングメールによるメールアカウントの認証情報窃取などがあります。さらに、偽の送金指示メールでは、こうして盗み見たメールの情報を悪用した巧妙ななりすましメールが送られてきます。標的をだますにあたって、主に取引先の担当者、同じ組織の上層部、場合によっては弁護士事務所の担当者などを偽ったなりすましメールが用いられます。

 このようななりすましメールにて利用される役職には、企業の最高経営責任者(以下、CEO)が多く、標的とされる役職には、高額の支払い決裁権を持っている最高財務責任者(以下、CFO)が多いことが分かっています。巧妙なBECの手口には代表的な5タイプがあります。以下それぞれについて解説します。

タイプ1:経営幹部になりすまし、偽の送金指示メールを送る

 これはサイバー犯罪者がCEOといった企業の幹部を装い、財務部門の責任者や担当者に偽の送金指示メールを送る手口です。海外でCEO詐欺とも呼ばれているこのタイプには、CEOを装って金融機関に直接メールを送り、偽の送金処理を実施させるケースもあります。

 こうしたCEOのなりすましメールの内容は、あらかじめ盗み見た業務メールの情報を用いて作られており、一見本物のCEOから送られてきたメールと区別が難しいことがあります。このなりすましメールでは、詐称されている人物が所属する組織の正規ドメインと類似のドメインが使われる傾向があり、さらに極秘の買収案件といった名目で、「至急対応願う」「緊急のお願い」といった内容を件名や本文に記載し、受信者を動揺させる手口を使います。

タイプ2:取引先になりすまし、偽の請求書を送る

 このタイプは、サイバー犯罪者が標的企業の取引先を装って、偽の請求書を送る手口を使います。サイバー犯罪者は標的企業の業務メールを盗み見て、取引先との間で進行しているビジネスの状況を監視します。そして、支払いが行われるタイミングを見計らった上で、取引先になりすました偽の請求書を標的に送りつけます。この手口では、偽の請求書がメールで送られてくるだけでなく、状況に応じて、FAXで届くこともあれば、電話で支払いに関する連絡がくることもあります。

タイプ3:メールアカウントを侵害し、偽の支払い依頼メールを送る

 サイバー犯罪者が標的企業の従業員のメールアカウントを乗っ取り、そのメールアカウントに登録されている取引先に対して、偽の支払い依頼メールを送る手口です。この手口では、企業の業務メールを盗み見るだけでなく、サイバー犯罪者が正規のメールアカウントから取引先に詐欺メールを送ることができるため、受信者側ではメールアドレスからなりすましメールを判断することは困難です。このタイプでは、複数の取引先に対してなりすましメールが送信される可能性があり、その結果、今後の自社のビジネスに大きな影響を及ぼす恐れがあります。

タイプ4:弁護士になりすまして、偽の送金指示を連絡する

 サイバー犯罪者が弁護士または弁護士事務所の代表を装って、標的企業のCEOや財務部門の責任者・担当者に偽の送金指示をする手口です。ここでもあらかじめ盗み見た企業のメール情報が悪用されており、巧みに標的企業をだまそうとしてきます。また、緊急を要する機密案件である旨を伝えてくるなど、担当者にプレッシャーを与えて心理的に動揺させる手口を用いてきます。

タイプ5:メールアカウントを侵害し、標的組織の従業員・幹部の個人情報を窃取

サイバー犯罪者が標的企業の従業員のメールアカウントを乗っ取り、そのメールアカウントを悪用して標的企業の従業員や幹部の個人情報を窃取する手口です。サイバー犯罪者は標的企業の人事担当など特定の任務を担っている従業員のメールアカウントを侵害し、そのメールアカウントから個人情報の窃取を目的としたなりすましメールを従業員や幹部に送ります。このタイプでは、こうして標的企業の従業員や幹部に関する情報を窃取し、その情報をさらなるBECの攻撃に悪用します。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ