2021年04月30日 05時00分 公開
特集/連載

「確定申告」に便乗した詐欺メールとは? 実例で知る「BEC」の手口ビジネスメール詐欺の実例から学ぶ教訓【第3回】

ビジネスメール詐欺(BEC)は標的の人物の心理的な隙を突いた巧妙な詐欺メールを利用する。新型コロナウイルス感染症(COVID-19)や確定申告に便乗したBECも発生しているという。どのようなものなのか。

[Katie Donegan,TechTarget]

 本連載は4回にわたって「ビジネスメール詐欺」(BEC)の実例5件と対策を紹介する。BECは、標的の企業の従業員に詐欺メールを送り、金銭をだまし取る攻撃手法だ。これは人の心理的な隙を狙う「ソーシャルエンジニアリング」を悪用する方法が主流になっている。

事例4.COVID-19関連のBEC

 人々がCOVID-19関連の情報を求めることに便乗するサイバー攻撃が猛威を振るっている。BECを用いる攻撃者はこのチャンスに乗じて、さまざまな詐欺メールを生み出している。攻撃者が詐欺メールに記載する内容は、感染拡大や個人向けの防護具(PPE)、ワクチン、ロックダウン(都市封鎖)といった、さまざまな重要事項を捏造(ねつぞう)したものだ。世界保健機関(WHO)などの信頼できる組織からのメールに見せかけて、さまざまなマルウェアや偽情報を含む詐欺メールもあった。

 「攻撃者の観点から見ると戦略は2つある。大物を狙うか小物を狙うかだ」。TechTarget傘下の調査会社Enterprise Strategy Groupでアナリストを務めるデーブ・グルーバー氏はそう解説する。

 米連邦捜査局(FBI)には大規模な医療施設や州政府機関を標的とするCOVID-19関連のBECの報告が複数寄せられた。標的になった組織は、人工呼吸器やPPEなど数が限られる医療物資を受け取る前に、偽の売り手に前金を支払うことになった。別の攻撃では、比較的規模の小さい組織を狙い「新型コロナウイルスのワクチンを接種できる」と称してクレジットカード情報を至急提供するよう催促した。「こうしたBECの小規模のキャンペーン(一連の攻撃行動)は毎日のように発生している」とグルーバー氏は言う。無作為な攻撃は、盗める金銭は1件当たり数百ドル程度だとしても、多くの攻撃を成功させることができれば金額を積み重ねられる。

事例5.確定申告シーズンのBEC

ITmedia マーケティング新着記事

news165.jpg

「SDGs」の認知率が初の半数超え 10代、課長代理・係長クラスの認知率が高い――電通調査
電通が第4回「SDGsに関する生活者調査」を実施。SDGs認知率は前回調査(2020年1月)から...

news054.jpg

「ECプラットフォーム」 売れ筋TOP10(2021年5月)
一部の都道府県では、新型コロナ第4波のための緊急事態宣言が続いています。オンラインシ...

news138.jpg

Brightcove、放送局レベルの品質でライブ配信イベントを実現する「Virtual Events for Business」を発表
企業やチーム単位で、安全かつ信頼性の高い放送品質のライブ配信イベントを社内外に配信。