HOME情報セキュリティ【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口

本文を印刷する

情報セキュリティ

【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口

~ J-CSIP(サイバー情報共有イニシアティブ)から得られた手口の詳細とその対策 ~

最終更新日:2017年4月3日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、サイバー攻撃の情報共有の枠組み、J-CSIP(サイバー情報共有イニシアティブ)の複数の参加企業から“ビジネスメール詐欺”(BEC(*1))に関する情報提供を受けました。そこで、その事例を詳細に解説し、手口を明らかにするとともに、国内企業に潜行していると考えられる“ビジネスメール詐欺”について注意喚起を行います。

 “ビジネスメール詐欺”は巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口です。2月には国内でも逮捕者が出たとの報道(*2)がありました。

 2012年4月から活動しているJ-CSIPでは現在、全87組織が7つのSIG(Special Interest Group)を形成し、標的型攻撃メール等、国内組織を狙うサイバー攻撃に関する情報を共有しています。この活動においてIPAへ“ビジネスメール詐欺”に関する情報が提供され、J-CSIPの複数企業においてこの攻撃が潜行し、また一部では実被害まで生じていることが確認されました。

 “ビジネスメール詐欺”は金銭被害が多額になる傾向があり、日本国内にも広く潜行している可能性が懸念されます。また、手口の悪質さ・巧妙さは、諜報活動等を目的とする“標的型サイバー攻撃”とも通じるところがあり、被害を防止するためには、特に企業の経理部門等が、このような手口の存在を知ることが重要です。そこで、実際に行われた事例をもとに手口を紹介するとともに、注意喚起を行います。

 J-CSIP参加企業から情報提供された4件の事例(メールのやりとり)の記録を分析した結果、攻撃者が取引先等になりすまし、企業の担当者を欺くため、次のようなパターンで偽のメールアドレスを使っていました。これら偽のメールアドレスを使うため、攻撃者は偽のドメイン名も取得・登録しています。メールの送信者欄を注意深く確認すれば、不審だと気付くことは可能だとは考えられますが、実際には、このような偽のメールアドレスからのメールによる不正な送金指示により、金銭被害まで至っています。


画像1

 攻撃者は、最終的には自身の口座へ送金させることが目的ですが、その過程において、上記のような偽のメールアドレスを使うだけでなく、様々な騙しの手口を駆使してくることが分かりました。

  • 請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時に騙す
  • メールの同報先(Cc等)も偽物に差し替え、他の関係者にはメールが届かないよう細工する
  • メールの引用部分にある、過去のメールのやりとりの部分について、都合の悪い部分を改変する

 また、事例によっては、企業担当者から「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきたり、送金がエラーになった際には30分で訂正のメールが送られてきたりと、非常に攻撃の手際がよいことも特徴的です。

 “ビジネスメール詐欺”は技術的な対策による防止が難しく、一人ひとりが手口を理解し、“怪しさ”を見抜くことが重要です。そのため、IPAでは注意喚起とともに、レポート「ビジネスメール詐欺 『BEC』に関する事例と注意喚起」を公開しました。

 このレポートでは、“ビジネスメール詐欺”の5つのタイプを説明し、4件の実事例の概要を紹介するとともに、それら事例で使われた攻撃手口を解説し、対策を述べています。また、レポートの添付資料では、4件の事例で使われた攻撃の手口について、更に詳しく紹介しています。さらに、レポートの要約版では、レポートの内容から重要な部分を抜粋して紹介しています。

 本レポートをビジネスメール詐欺の対策のための参考としてください。

ビジネスメール詐欺「BEC」に関する事例と注意喚起のレポート

脚注

(*1) Business E-mail Compromise (ビーイーシー)

(*2) メールをハッキング、詐欺容疑などでナイジェリア人逮捕(朝日新聞デジタル)
   http://www.asahi.com/articles/ASK2J5VP9K2JUTIL040.html別ウィンドウで開く

  メールに細工、振込先変更=不正引き出し容疑で男逮捕-警視庁(時事ドットコム)
   http://www.jiji.com/jc/article?k=2017021601136&g=soc別ウィンドウで開く

サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))

J-CSIPロゴ

 J-CSIPは、公的機関であるIPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組みです。
 具体的には、IPAと各参加組織(あるいは参加組織を束ねる業界団体)間で締結した秘密保持契約(NDA)のもと、参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報をIPAに集約。情報提供元に関する情報や機微情報の匿名化を行い、IPAによる分析情報を付加した上で、情報提供元の承認を得て共有可能な情報とし、参加組織間での情報共有を行っています。

 J-CSIPの活動については、「サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))」を参照ください。

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 松坂/伊藤

Tel: 03-5978-7535 Fax: 03-5978-7552 E-mail: 電話番号:03-5978-7535までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 白石/山北

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2017年4月3日 公開