情報処理推進機構(IPA)は4月3日、企業の担当者をだまして不正に送金させる「ビジネスメール詐欺」の手口について注意喚起した。被害者が「正しい送信元からのメール」と誤認するような偽のメールアドレスを使い、攻撃者の口座に振り込ませる事例が複数発生しているという。
攻撃者は企業の担当者宛てに、取引先などを装ってメールを送信する。その際、本物のメールアドレスを巧妙に改変した“偽物”を用いるという。例えば、ドメイン名を1文字入れ替える、1文字追加する、「m」を「rn」で置き換える――など。
偽のメールアドレスを使った上で、攻撃者は「請求側と支払い側の両方になりすます」「メールのCcも偽物のメールアドレスに差し替え、他の関係者にもあたかもメールが届いているかのように細工する」「メールの引用部分にある過去のやり取りについて、都合の悪い部分を改変する」といった方法を駆使して担当者の目をあざむく。
さらに、取引先になりすましたメールの最中で偽の請求書を送る、担当者の上司(経営者や幹部など)を装う、弁護士などの権威になりすますなど、さまざまなパターンで振り込ませようとするという。
また、担当者が「口座名義に問題があり送金できないこと」を伝えると、その数十分後に別の口座を連絡してきたり、訂正メールを送ってきたりと、手際がいいことも特徴として挙げられるという。
対策として、IPAは「まずこのような攻撃があるという事実を知ること」を挙げる。ITシステム面での対策だけでは防御が難しいことから、担当者一人ひとりが手口を理解し、送金前のチェックの強化、普段と異なるメールへの注意、基本的なウイルス・不正アクセス対策を行うよう呼びかけている。
これらの情報は、サイバー情報共有イニシアティブ(J-CSIP)参加企業から提供を受けた4つの事例を基にIPAが分析した。
関連記事
- 「安全なウェブサイト運営入門」に脆弱性 使用停止を
IPAが2008年に公開した無料ゲーム「安全なウェブサイト運営入門」に脆弱性が見つかったとして、使用しないよう呼び掛けている。 - ヤフー「週休3日」導入 まず育児・介護中の社員から
小学生以下の子どもの養育、家族の介護・看護をしている正社員・契約社員が対象。 - 「誕生日をパスワードにしないで」――政府機関が注意喚起 芸能人のメールのぞき見事件で
情報処理推進機構(IPA)が、誕生日などSNSで公開している情報をパスワードに設定しないように注意喚起。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.