「取引先から届いたそのメール、“なりすまし”かも」 IPAがビジネスメール詐欺事例を紹介

情報処理推進機構がビジネスメール詐欺の事例を公開した。事例の中には気付かずに偽口座に送金してしまったケースもあれば、「あること」を実施したことで被害を未然に防いだケースもある。何が「分かれ道」になったのか。

[後藤大地，ITmedia]

　情報処理推進機構（IPA）は2023年4月13日、ビジネスメール詐欺（BEC）の事例を公開した。

ビジネスメール詐欺事例を公開、確認を防止策を

　これまでに確認されたビジネスメール詐欺の事例を紹介することで同様の被害を避けることや、詐欺を早期に発見すること、犯罪行為を未然に防止するなどの目的があるとしている。

　国内企業と海外取引先企業間の偽口座への送金などが例として挙げられている。

　今回紹介されている主な事例は次の通りだ。

• 事例1: 国内企業と海外取引先企業のやりとりにおいて、国内企業がサイバーセキュリティ犯罪者にだまされて偽の口座へ送金した事例。ただし、偽口座に送金した後で一部を取り戻した
• 事例2: 国内企業と海外取引先企業のやりとりにおいて、取引先の担当者になりすました攻撃者が偽造した銀行口座証明書類を使って振込先口座変更を依頼した事例。偽造された証明書類は印影の名義が正規の証明書類と異なっていたが、被害を受けた国内企業は気付かず、偽の口座へ送金した
• 事例3: 国内企業の海外関連会社と海外取引先企業のやりとりにおいて、サイバーセキュリティ犯罪者が支払方法を口座振込へ変更するよう仕向けた事例。被害を受けた国内企業はそれまで毎月小切手で支払っていたのを、サイバーセキュリティ犯罪者にだまされて口座振込へ変更した。国内企業は3カ月に渡って偽の口座に送金した
• 事例4: 国内企業と海外取引先企業のやりとりにおいて、海外取引先企業がサイバーセキュリティ犯罪者にだまされて偽の口座への送金手続きを行った事例。ただし、事態を把握した国内企業が送金先となった銀行に通報して、メインバンクを介して情報を連携し、振込処理を停止させた
• 事例5: 国内企業と海外取引先企業のやりとりにおいて、サイバーセキュリティ攻撃者が双方の企業担当者になりすまして詐欺を行った事例。サイバーセキュリティ犯罪者は海外取引先企業の証明書類をだまし取った上で正規の取引相手を偽装し、その書類を送り付けて支払側の国内企業に偽の口座への変更を依頼した
• 事例6: 国内企業の社長になりすましたサイバーセキュリティ攻撃者が、グループ企業の役員に対して企業合併買収について協力を求めるメールを送ったり、指定する口座に金銭の支払いを要求する電子メールを送ったりした事例。関係者がやりとりの中で不審な点に気付き、国内企業の社長に電話で確認することで詐欺被害を未然に防いだ

　ビジネスメール詐欺においてサイバーセキュリティ犯罪者は本物に見せかけるためにさまざまな方法で偽装する。少しでも違和感があった場合は、電子メール以外の方法で取引先と連絡を取り、事実を確認することが望まれる。

　情報処理推進機構は「こうした資料を活用してセキュリティ上の取り組み役立てて欲しい」と呼びかけている。