「ビジネスメール詐欺」(BEC)では、サイバー犯罪者が巧妙な手口で、標的組織のさまざまな役職になりすましたメールを使い、犯罪を成功させる。その具体的な手口を見ていく。
連載第1回「いまさら聞けない『ビジネスメール詐欺』(BEC)とは何か? 1000万円超の被害も」では、世界中で被害が深刻化している新たなサイバー犯罪「ビジネスメール詐欺」(以下、BEC)とは何か、その特徴や被害状況、どのような企業が狙われるのかについて解説しました。第2回の今回は、BECの具体的な手口について詳しく解説します。
BECは、攻撃者が不正プログラム(マルウェア)など多様な手段で企業の業務メールを盗み見て得た情報を基に、巧妙ななりすましメールで不正送金、情報窃取といった詐欺行為をするサイバー犯罪です。既に国内外の企業でBECの被害が報告されており、なりすます人物、詐欺の内容などによって以下に示す5つの代表的なタイプが確認できています。
それぞれのタイプについて、詳しく見ていきます。
1つ目は、サイバー犯罪者が標的企業の経営幹部を装い、財務部門の担当者や責任者に偽の送金指示メールを送る手口です(図1)。海外では最高経営責任者(以下、CEO)を装った手口が一般的で、CEOをかたったメールを金融機関に直接送り、偽の送金処理をさせるケースもあります。そのため、このタイプは「CEO詐欺」とも呼ばれています。
サイバー犯罪者は事前に盗み見た業務メールの情報を用いるなどして、経営幹部を装ったメールを巧妙に作成します。例えば過去の業務メールのやりとりを記載して、あたかも送金指示が本物かのように見せかけるなど、一見しただけでは、なりすましメールだと判断しにくいようにしています。
なりすましメールの送信元メールアドレスのドメインには、サイバー犯罪者がなりすましている人物の所属組織の正規ドメインに類似したものが使われる傾向があります。サイバー犯罪者は受信者を動揺させるため、極秘案件を装ったり、「至急対応願う」「緊急のお願い」といった内容を件名や本文に記載したりすることがあります。経営幹部の外出中など、メール受信者が内容の真偽を確認することが難しいタイミングを狙って、偽の送金指示メールを送ってきた事例も公表されています。
Copyright © ITmedia, Inc. All Rights Reserved.
「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...
ボストン コンサルティング平井陽一朗氏が語る 日本企業のイノベーションを阻む「5つの壁」
企業の変革を阻む5つの壁とそれを乗り越える鍵はどこにあるのか。オンラインマーケットプ...
日清食品がカップ麺の1〜5位を独占 2024年、最も手に取られた新商品は?
カタリナマーケティングジャパンは、カタリナネットワーク内小売店における年間売り上げ...