IPAは3日、巧妙なメールで相手を騙す「ビジネスメール詐欺」の事例を解説。国内企業に潜行している可能性があるとして注意を喚起した。
「ビジネスメール詐欺」とは、巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口。IPAは実際に確認した事例をもとに、ビジネスメール詐欺対策の一環として手口を紹介した。
確認事例では、攻撃者は取引先等になりすまし、偽のメールアドレスをパターン化して使用。
|
「ビジネスメール詐欺」攻撃者による偽メールのパターン例(図:IPA) |
メールの送信者欄には、本物のアドレスと似ているものの、細部が異なったアドレスが表示されており、注意深く確認すると気付くことが可能だと考えられる。しかし実際には見抜くことが難しく、偽のメールアドレスからのメールによる不正な送金指示により、金銭被害が発生しているという。
メールの内容に関しては、下記のような手口が確認された。
請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時に騙す。メールのCCも偽のアドレスとし、他の関係者にはメールが届かないように細工する。
メールの引用部分にある、過去のメールのやりとりの中で都合の悪い部分を改変する
入金に際しエラ―などが発生し、企業担当者が「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡するなど、攻撃の手際がよいことも特徴という。IPAは「ビジネスメール詐欺対策の参考として欲しい」と注意を呼びかけている。
