独立行政法人情報処理推進機構(IPA)は、ビジネスメール詐欺(Business E-mail Compromise:BEC)対策の特設ページを同機構のウェブサイトで公開した。今後もさらなるビジネスメール詐欺の脅威が考えられるとして、その手口や対策、関連資料などをまとめている。
ビジネスメール詐欺とは、偽の電子メールを組織・企業に送り付け、従業員を騙し、送金させる詐欺の手口のこと。米国連邦捜査局(FBI)や米国インターネット犯罪苦情センター(IC3)が公開している情報によると、年々被害は増加傾向にあるという。
ビジネスメール詐欺のパターンを、IPAでは、よく事例が確認されている「取引先との請求書の偽装」「経営者等へのなりすまし」の2タイプに分類している。
「取引先との請求書の偽装」は、取引先などとの請求に関係したやりとりで行われるもの。攻撃者が取引先(受注側)になりすまし、攻撃者が用意した口座の情報に差し替えた偽の請求書などを送りつけることで、攻撃者に振り込みをさせる。この手口は、「偽の請求書詐欺」や、「サプライヤー詐欺」「請求書偽装の手口」などとも呼ばれる。
IPAで確認している攻撃事例として、次のようなケースが挙げられている。
- 自組織の担当者をかたる攻撃者から、海外の取引先の担当者へ、偽の口座に送金先の変更を依頼する偽のメールが送られた
- 海外の取引先の担当者をかたる攻撃者から、自組織の担当者へ、請求書の変更と称して、偽口座に改ざんされた請求書が添付された偽のメールが送られた
- 海外子会社の担当者をかたる攻撃者から、自組織の担当者へ、偽の口座に送金先の変更を依頼する偽のメールが送られた
「経営者等へのなりすまし」は、攻撃者が企業(自組織内)の経営者や役員、幹部などになりすまし、財務・経理担当者といった金銭管理を行う部門の従業員に対して、攻撃者の用意した口座へ振り込みをさせようとする手口。この手口は、「CEO詐欺」や、「企業幹部詐欺」「なりすまし詐欺」などとも呼ばれる。
IPAで確認している攻撃事例として、次のようなケースが挙げられている。
- 自組織の経営層をかたる攻撃者から、自組織の従業員へ偽のメールが送られた
- 親会社の経営層をかたる攻撃者から、子会社の経営層へ偽のメールが送られた
- 親会社の経営者をかたる攻撃者から、海外の関連会社の経営層へ偽のメールが送られた
- 海外関連会社の経営層をかたる攻撃者から、自組織の従業員へ偽のメールが送られた
- 海外関連会社の経営層をかたる攻撃者から、別の海外関連会社の経営層へ偽のメールが送られた
ビジネスメール詐欺は、メールのなりすましなどのサイバー攻撃の手法を用いつつ、人をだます手口で、そのためシステムやセキュリティソフトによる機械的な防御や偽メールの排除が難しく、被害抑止が困難になっているとIPAは解説している、対策として、まずは企業や組織の職員間で詐欺の手口を周知し、その上で、次のような対策を行うことが望ましいという。
- 普段と異なるメールに注意し、不審なメールは社内で情報共有する
- 電信送金に関する社内規程を整備し、急な振込先や決済手段の変更などが発生した場合には取引先へメール以外の方法で確認するなど、チェック体制を整備する
- ウイルスや不正アクセスの対策を行う。具体的にはセキュリティソフトの導入、パスワードの使いまわし禁止、メールシステムの多要素認証やアクセス制限の導入など
複数層の防御施策を重ねて全体として強固な防御を築く「多層防御」の考えに基づき、ビジネスメール詐欺への対策のみならず、ほかのサイバー攻撃全般への対策になる複数の防御層を設けるようにとしている。
特設ページでは、このほかにも、実際にビジネスメール詐欺に遭ってしまった際の対応や、特徴と対策のレポート、啓発用のチラシや動画などの資料、事例情報などが公開されている。
[embedded content]