やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ビジネスメール詐欺(BEC)

ビジネスメール詐欺(BECBusiness Email Compromise))とは

取引先などを装った偽のメールを組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のことです。

201712月に日本航空が38000万円の被害に遭ったことがニュースで報じられたように、近年、大きく被害が拡大してきています。

2019年7月に公開されたIPAの「情報セキュリティ 10大脅威2019」でも「組織」向け脅威で2位にランキングされています。

(出典 IPA「情報セキュリティ 10大脅威2019」)

f:id:aolaniengineer:20190904221635p:plain

www.ipa.go.jp

大企業でもこのような被害に遭うのは、手口がより巧妙になってきていることにあります。

メールでのやり取りで、取引先の担当者になりすまして金銭を騙し取ろうとする例が多いようです。

f:id:aolaniengineer:20190904221344p:plain

巧妙な手口

正規の担当者同士のメールのやり取りを盗聴して、話題の流れを保ったまま相手になりすますことで、怪しまれないようにする

例えば、正規の担当者から請求書が送付されたタイミングで、その担当者になりすまし、改めて請求書の修正版を送付して振込先を変更させたりします。

メールアドレスのドメイン名は、なりすます担当者の正規のドメイン名と1文字だけ異なるようにするなどして、気付かれないようにする

組織などは自社ドメイン名と紛らわしいドメイン名が取得されていないかを定期的に確認したりして、悪用を防いだりしていますが、攻撃の直前にドメイン名取得をしてその防止策を回避しています。

システムやセキュリティソフトによる防御ができない 

通常のメールとしてやり取りされるため、機械的な防御やメール排除はできないことを考えると、当面は組織内で人的対応を取るしかなさそうです。

少しでもいつもと違うメールに注意する
振込先変更などはメール以外の方法で確認するなどのルール化を定める
メールシステムの不正アクセス、ウィルス対策を徹底する