IPA(情報処理推進機構)は4月3日、サイバー攻撃の情報共有の枠組み「J-CSIP(サイバー情報共有イニシアティブ)」の複数の参加企業から受けた「ビジネスメール詐欺」に関する情報提供をもとに、注意喚起を行った。

ビジネスメール詐欺とは、巧妙に細工したメールのやりとりにより、企業の担当者をだまし、攻撃者の用意した口座へ送金させる詐欺の手口。2月には国内でも逮捕者が出たとの報道があった。

J-CSIP参加企業から情報提供された4件の事例(メールのやりとり)の記録を分析した結果、攻撃者が取引先などになりすまし、企業の担当者を欺くため、偽のメールアドレスを使っていたという。また、偽のメールアドレスを使うため、攻撃者は偽のドメイン名も取得・登録していた。

IPAはメールの送信者欄を注意深く確認すれば、不審だと気付くことは可能だと考えられるとしているが、実際には偽のメールアドレスからのメールによる不正な送金指示により、金銭被害まで至っている。

攻撃者は、最終的には自身の口座へ送金させることが目的だが、その過程において、偽のメールアドレスを使うだけでなく、「請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時にだます」、「メールの同報先(Cc等)も偽物に差し替え、他の関係者にはメールが届かないよう細工する」、「メールの引用部分にある、過去のメールのやりとりの部分について、都合の悪い部分を改変する」といった、さまざまなだましの手口を駆使してくることがわかったという。

「ビジネスメール詐欺」で用いられていた偽のメールアドレスの例

また、事例によっては、企業担当者から「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきたり、送金がエラーになった際には30分で訂正のメールが送られてきたりと、非常に攻撃の手際がよいことも特徴的とのこと。

IPAは注意を喚起するとともに、レポート「ビジネスメール詐欺 『BEC』に関する事例と注意喚起」を公開。同レポートでは、ビジネスメール詐欺の5つのタイプを説明し、4件の実事例の概要を紹介するとともに、それら事例で使われた攻撃手口を解説して対策を述べている。