情報セキュリティ

ビジネスメール詐欺のパターンとは

最終更新日:2022年9月28日

独立行政法人情報処理推進機構
セキュリティセンター

ビジネスメール詐欺のパターン

ビジネスメール詐欺は騙す相手によって次の2つのパターンに分類できます。

なお、IC3やトレンドマイクロ社では、詐欺行為の準備等といった手口も含め5つのパターンで分類していますが、IPAではこの2つのタイプの攻撃事例を多く確認しています。

タイプ1:取引先との請求書の偽装

このタイプは、取引先等と請求に係るやりとりをメールなどで行っている際に、攻撃者が取引先になりすまし、攻撃者の用意した口座に差し替えた偽の請求書等を送り付け、振り込みをさせるというものです。このとき、攻撃者は取引に係るメールのやりとりをなんらかの方法によって事前に盗み見て、取引や請求に関する情報や、関係している従業員のメールアドレスや氏名等を入手していることがあります。

攻撃者は最終的に支払側の企業の担当者を騙し、攻撃者の口座へ送金をさせようとします。IPAでは、海外の企業と取引を行っている企業で多く確認しています。

この手口は、「偽の請求書詐欺(The Bogus Invoice Scheme)」や、「サプライヤー詐欺(The Supplier Swindle)」、「請求書偽装の手口(Invoice Modification Scheme)」などと呼ばれています。

  • 例:攻撃者がA社従業員のメールを盗み見て、B社従業員へ偽の請求書を送る

一例として、IPAで確認しているタイプ1の攻撃事例では次のようなケースがあることを確認しています。

  • 自組織の担当者を騙る攻撃者から、海外取引先担当者へ、偽の口座に送金先の変更を依頼する偽のメールが送られた。
  • 海外取引先担当者を騙る攻撃者から、自組織の担当者へ、請求書の変更と称して、偽口座に改ざんされた請求書が添付された偽のメールが送られた。
  • 海外子会社の担当者を騙る攻撃者から、自組織の担当者へ、偽の口座に送金先の変更を依頼する偽のメールが送られた。

タイプ2:経営者等へのなりすまし

このタイプは、攻撃者が企業の経営者や企業幹部(役員)などになりすまし、企業の従業員に攻撃者の用意した口座へ振り込みをさせるというものです。このとき、事前に攻撃者はなんらかの方法によって、企業の役員などのメールアドレスを調べ、より本物らしくなりすましを行う場合もあります。

攻撃先としては、企業内の財務・経理担当者といった金銭管理を行う部門が狙われる傾向にあります。IPAでは、「秘密の案件で相談がある」や、「相談したいことがあるので少し時間があるか」といった経営層からの問い合わせを装う手口を多く確認しています。

この手口は、「CEO詐欺(CEO Fraud)」や、「企業幹部詐欺(Business Executive Scam)」、「なりすまし詐欺(Masquerading)」などと呼ばれています。

  • 例:攻撃者が経営者などの情報を調査し、経営者などになりすまして従業員へ送金依頼する

一例として、IPAで確認しているタイプ2の攻撃事例では次のようなケースがあることを確認しています。

  • 自組織の経営層を騙る攻撃者から、自組織の従業員へ偽のメールが送られた。
  • 親会社の経営層を騙る攻撃者から、子会社の経営層へ偽のメールが送られた。
  • 親会社の経営者を騙る攻撃者から、海外の関連会社の経営層へ偽のメールが送られた。
  • 海外関連会社の経営層から、自組織の従業員へ偽のメールが送られた。
  • 海外関連会社の経営層から、別の海外関連会社の経営層へ偽のメールが送られた。

これらタイプ1、タイプ2のそれぞれ具体的な事例内容については、BEC対策特設ページにある各事例を参照ください。