ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

最新ビジネスメール詐欺 だましの手口は「メールアドレスで嘘をつく」

» 2017年04月03日 15時58分 公開
[ITmedia]

 情報処理推進機構(IPA)は4月3日、企業の担当者をだまして不正に送金させる「ビジネスメール詐欺」の手口について注意喚起した。被害者が「正しい送信元からのメール」と誤認するような偽のメールアドレスを使い、攻撃者の口座に振り込ませる事例が複数発生しているという。

 攻撃者は企業の担当者宛てに、取引先などを装ってメールを送信する。その際、本物のメールアドレスを巧妙に改変した“偽物”を用いるという。例えば、ドメイン名を1文字入れ替える、1文字追加する、「m」を「rn」で置き換える――など。

偽物のメールアドレスの例

 偽のメールアドレスを使った上で、攻撃者は「請求側と支払い側の両方になりすます」「メールのCcも偽物のメールアドレスに差し替え、他の関係者にもあたかもメールが届いているかのように細工する」「メールの引用部分にある過去のやり取りについて、都合の悪い部分を改変する」といった方法を駆使して担当者の目をあざむく。

 さらに、取引先になりすましたメールの最中で偽の請求書を送る、担当者の上司(経営者や幹部など)を装う、弁護士などの権威になりすますなど、さまざまなパターンで振り込ませようとするという。

取引先とのメールに割り込んで金銭を詐取する事例も

 また、担当者が「口座名義に問題があり送金できないこと」を伝えると、その数十分後に別の口座を連絡してきたり、訂正メールを送ってきたりと、手際がいいことも特徴として挙げられるという。

 対策として、IPAは「まずこのような攻撃があるという事実を知ること」を挙げる。ITシステム面での対策だけでは防御が難しいことから、担当者一人ひとりが手口を理解し、送金前のチェックの強化、普段と異なるメールへの注意、基本的なウイルス・不正アクセス対策を行うよう呼びかけている。

 これらの情報は、サイバー情報共有イニシアティブ(J-CSIP)参加企業から提供を受けた4つの事例を基にIPAが分析した。

Copyright © ITmedia, Inc. All Rights Reserved.