ESETは2017年12月15日(米国時間)、「Business Email Compromise scammer sentenced to 41 months in prison」において、世界中の組織を標的にしたビジネスメール詐欺に加担したことを認めたナイジェリアの男性に対して米国の裁判官が禁固3年5カ月を言い渡したと伝えた。
同社の説明によると、この男性は2014年から2016年の間に数千回にわたってメール詐欺を繰り返し、海外の複数の銀行口座に合計2500万米ドルの送金を行わせたという。
ビジネス詐欺メールの手口は巧みなサイバー攻撃やマルウェアを利用するというものではなく、ただ単に送金するように求めたメールを送信するだけとされている。こうした詐欺メールの内容は、標的となった組織の上司、標的となった企業の取引先から入金や送金を求めるような内容になっている。また、メールのヘッダは偽装されているほか、だましやすいようなドメインが使われるとも説明している。
ビジネスメール詐欺はここ最近、特に被害が拡大しているサイバー攻撃の1つ。標的となった組織の内部情報やメールの内容を傍受する方法はさまざまだが、手に入れた情報をもとに上司や取引先のように見せかけるメールを送信することで送金や入金を指示してくる。この段階では脆弱性は悪用されず、担当者をだますことで犯罪を成功させる。
ビジネスメール詐欺は得られる報酬が大きいことから被害が拡大している。今後、さらに攻撃が活発になることが推測されており注意が必要。
