新たな脅威「ビジネスメール詐欺(BEC)」とは?:情報セキュリティの深層(1/2 ページ)
実在の組織や人物をかたったメールで従業員をだまし、サイバー犯罪者が管理する口座へ不正な送金処理をさせたり、特定の情報をだまし取ったりする「ビジネスメール詐欺(BEC)」が広がりつつあります。
第1回「企業はランサムウェアの攻撃に備えて何をすればいいか」、第2回「Webサイトを守るために企業が実施すべき対策とは?」と、多様化するランサムウェアやWebサイトを狙ったサイバー攻撃について解説してきました。最終回となる今回は、全世界で大きな被害をもたらしている新たな脅威「ビジネスメール詐欺(BEC)」について知っていただきたいと思います。国内での認知はまだまだ高くありませんが、着実に日本企業に迫ってきている新たな脅威について解説します。
ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(以下、BEC)は、企業の従業員をだまし、サイバー犯罪者が管理する口座へ不正な送金処理をさせたり、特定の情報をだまし取ったりする詐欺です。一般的な詐欺と異なるのは、サイバー犯罪者が、標的とする企業のメールを盗み見ることで、そこから得られる企業の情報を悪用して被害者をだまそうとする点です。
このBECには大きく2つの特徴があります。1つ目は、サイバー犯罪者がさまざまな攻撃を用いて企業のメールを盗み見ること。そして2つ目は、ソーシャルエンジニアリングを用いた偽の送金指示メールを送ってくることです。
サイバー犯罪者が企業のメールを盗み見る手口には、標的企業のメールサーバへの攻撃、キーロガーやフィッシングメールによるメールアカウントの認証情報窃取などがあります。さらに、偽の送金指示メールでは、こうして盗み見たメールの情報を悪用した巧妙ななりすましメールが送られてきます。標的をだますにあたって、主に取引先の担当者、同じ組織の上層部、場合によっては弁護士事務所の担当者などを偽ったなりすましメールが用いられます。
このようななりすましメールにて利用される役職には、企業の最高経営責任者(以下、CEO)が多く、標的とされる役職には、高額の支払い決裁権を持っている最高財務責任者(以下、CFO)が多いことが分かっています。巧妙なBECの手口には代表的な5タイプがあります。以下それぞれについて解説します。
タイプ1:経営幹部になりすまし、偽の送金指示メールを送る
これはサイバー犯罪者がCEOといった企業の幹部を装い、財務部門の責任者や担当者に偽の送金指示メールを送る手口です。海外でCEO詐欺とも呼ばれているこのタイプには、CEOを装って金融機関に直接メールを送り、偽の送金処理を実施させるケースもあります。
こうしたCEOのなりすましメールの内容は、あらかじめ盗み見た業務メールの情報を用いて作られており、一見本物のCEOから送られてきたメールと区別が難しいことがあります。このなりすましメールでは、詐称されている人物が所属する組織の正規ドメインと類似のドメインが使われる傾向があり、さらに極秘の買収案件といった名目で、「至急対応願う」「緊急のお願い」といった内容を件名や本文に記載し、受信者を動揺させる手口を使います。
タイプ2:取引先になりすまし、偽の請求書を送る
このタイプは、サイバー犯罪者が標的企業の取引先を装って、偽の請求書を送る手口を使います。サイバー犯罪者は標的企業の業務メールを盗み見て、取引先との間で進行しているビジネスの状況を監視します。そして、支払いが行われるタイミングを見計らった上で、取引先になりすました偽の請求書を標的に送りつけます。この手口では、偽の請求書がメールで送られてくるだけでなく、状況に応じて、FAXで届くこともあれば、電話で支払いに関する連絡がくることもあります。
タイプ3:メールアカウントを侵害し、偽の支払い依頼メールを送る
サイバー犯罪者が標的企業の従業員のメールアカウントを乗っ取り、そのメールアカウントに登録されている取引先に対して、偽の支払い依頼メールを送る手口です。この手口では、企業の業務メールを盗み見るだけでなく、サイバー犯罪者が正規のメールアカウントから取引先に詐欺メールを送ることができるため、受信者側ではメールアドレスからなりすましメールを判断することは困難です。このタイプでは、複数の取引先に対してなりすましメールが送信される可能性があり、その結果、今後の自社のビジネスに大きな影響を及ぼす恐れがあります。
タイプ4:弁護士になりすまして、偽の送金指示を連絡する
サイバー犯罪者が弁護士または弁護士事務所の代表を装って、標的企業のCEOや財務部門の責任者・担当者に偽の送金指示をする手口です。ここでもあらかじめ盗み見た企業のメール情報が悪用されており、巧みに標的企業をだまそうとしてきます。また、緊急を要する機密案件である旨を伝えてくるなど、担当者にプレッシャーを与えて心理的に動揺させる手口を用いてきます。
タイプ5:メールアカウントを侵害し、標的組織の従業員・幹部の個人情報を窃取
サイバー犯罪者が標的企業の従業員のメールアカウントを乗っ取り、そのメールアカウントを悪用して標的企業の従業員や幹部の個人情報を窃取する手口です。サイバー犯罪者は標的企業の人事担当など特定の任務を担っている従業員のメールアカウントを侵害し、そのメールアカウントから個人情報の窃取を目的としたなりすましメールを従業員や幹部に送ります。このタイプでは、こうして標的企業の従業員や幹部に関する情報を窃取し、その情報をさらなるBECの攻撃に悪用します。
関連記事
「ビジネスメール詐欺」が急増中 IPAが注意喚起
IPA(独立行政法人情報処理推進機構)が、「ビジネスメール詐欺」(BEC)について注意喚起を行った。具体的な手口の事例解説とともに、対策を提示している。
偽社長の送金指示メールで大金被害、本物の社長が辞任するケースも
「急に資金が必要だ」といった内容のメールで経理担当者などに入金させる詐欺が横行し、毎日400社近くが狙われているという。- 企業はランサムウェアの攻撃に備えて何をすればいいか
2016年頃から、従来のサイバー犯罪被害に加えて、「ランサムウェア」の被害も増えてきました。海外では社会インフラにまで影響を及ぼす事例も出ています。このランサムウェアとはなんなのか、どのような対策が必要なのか、細かく解説します。 
Webサイトを守るために企業が実施すべき対策とは?
ITmedia エンタープライズでも頻繁にニュースとして取り上げる「脆弱性」の情報。ソフトウェアに脆弱性があると、どんな影響があるのでしょうか。企業にとっては、この脆弱性が非常に深刻な脅威なのです。
2017年は標的型ランサムウェアや振り込め詐欺に注意、トレンドマイクロが予想
同社は2016年が「サイバー脅迫元年」だったと指摘。昨年のサイバー犯罪動向と2017年の脅威予想を解説した。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。