【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口

 “ビジネスメール詐欺”は巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口です。2月には国内でも逮捕者が出たとの報道^(*2)がありました。

 2012年4月から活動しているJ-CSIPでは2017年4月現在、全87組織が7つのSIG（Special Interest Group）を形成し、標的型攻撃メール等、国内組織を狙うサイバー攻撃に関する情報を共有しています。この活動においてIPAへ“ビジネスメール詐欺”に関する情報が提供され、J-CSIPの複数企業においてこの攻撃が潜行し、また一部では実被害まで生じていることが確認されました。

 “ビジネスメール詐欺”は金銭被害が多額になる傾向があり、日本国内にも広く潜行している可能性が懸念されます。また、手口の悪質さ・巧妙さは、諜報活動等を目的とする“標的型サイバー攻撃”とも通じるところがあり、被害を防止するためには、特に企業の経理部門等が、このような手口の存在を知ることが重要です。そこで、実際に行われた事例をもとに手口を紹介するとともに、注意喚起を行います。

 J-CSIP参加企業から情報提供された4件の事例（メールのやりとり）の記録を分析した結果、攻撃者が取引先等になりすまし、企業の担当者を欺くため、次のようなパターンで偽のメールアドレスを使っていました。これら偽のメールアドレスを使うため、攻撃者は偽のドメイン名も取得・登録しています。メールの送信者欄を注意深く確認すれば、不審だと気付くことは可能だとは考えられますが、実際には、このような偽のメールアドレスからのメールによる不正な送金指示により、金銭被害まで至っています。

 攻撃者は、最終的には自身の口座へ送金させることが目的ですが、その過程において、上記のような偽のメールアドレスを使うだけでなく、様々な騙しの手口を駆使してくることが分かりました。

• 請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時に騙す
  
• メールの同報先（Cc等）も偽物に差し替え、他の関係者にはメールが届かないよう細工する
  
• メールの引用部分にある、過去のメールのやりとりの部分について、都合の悪い部分を改変する
  

 また、事例によっては、企業担当者から「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきたり、送金がエラーになった際には30分で訂正のメールが送られてきたりと、非常に攻撃の手際がよいことも特徴的です。

 “ビジネスメール詐欺”は技術的な対策による防止が難しく、一人ひとりが手口を理解し、“怪しさ”を見抜くことが重要です。そのため、IPAでは注意喚起とともに、レポート「ビジネスメール詐欺 『BEC』に関する事例と注意喚起」を公開しました。

 このレポートでは、“ビジネスメール詐欺”の5つのタイプを説明し、4件の実事例の概要を紹介するとともに、それら事例で使われた攻撃手口を解説し、対策を述べています。また、レポートの添付資料では、4件の事例で使われた攻撃の手口について、更に詳しく紹介しています。さらに、レポートの要約版では、レポートの内容から重要な部分を抜粋して紹介しています。

 本レポートをビジネスメール詐欺の対策のための参考としてください。