情報セキュリティ
最終更新日:2022年9月28日
独立行政法人情報処理推進機構
セキュリティセンター
ビジネスメール詐欺は騙す相手によって次の2つのパターンに分類できます。
なお、IC3やトレンドマイクロ社では、詐欺行為の準備等といった手口も含め5つのパターンで分類していますが、IPAではこの2つのタイプの攻撃事例を多く確認しています。
このタイプは、取引先等と請求に係るやりとりをメールなどで行っている際に、攻撃者が取引先になりすまし、攻撃者の用意した口座に差し替えた偽の請求書等を送り付け、振り込みをさせるというものです。このとき、攻撃者は取引に係るメールのやりとりをなんらかの方法によって事前に盗み見て、取引や請求に関する情報や、関係している従業員のメールアドレスや氏名等を入手していることがあります。
攻撃者は最終的に支払側の企業の担当者を騙し、攻撃者の口座へ送金をさせようとします。IPAでは、海外の企業と取引を行っている企業で多く確認しています。
この手口は、「偽の請求書詐欺(The Bogus Invoice Scheme)」や、「サプライヤー詐欺(The Supplier Swindle)」、「請求書偽装の手口(Invoice Modification Scheme)」などと呼ばれています。
一例として、IPAで確認しているタイプ1の攻撃事例では次のようなケースがあることを確認しています。
このタイプは、攻撃者が企業の経営者や企業幹部(役員)などになりすまし、企業の従業員に攻撃者の用意した口座へ振り込みをさせるというものです。このとき、事前に攻撃者はなんらかの方法によって、企業の役員などのメールアドレスを調べ、より本物らしくなりすましを行う場合もあります。
攻撃先としては、企業内の財務・経理担当者といった金銭管理を行う部門が狙われる傾向にあります。IPAでは、「秘密の案件で相談がある」や、「相談したいことがあるので少し時間があるか」といった経営層からの問い合わせを装う手口を多く確認しています。
この手口は、「CEO詐欺(CEO Fraud)」や、「企業幹部詐欺(Business Executive Scam)」、「なりすまし詐欺(Masquerading)」などと呼ばれています。
一例として、IPAで確認しているタイプ2の攻撃事例では次のようなケースがあることを確認しています。
これらタイプ1、タイプ2のそれぞれ具体的な事例内容については、BEC対策特設ページにある各事例を参照ください。