詐欺の手口を知ることが、被害防止の第一歩―情報処理推進機構(IPA)は2017年4月3日、実際に金銭被害があった「ビジネスメール詐欺」の手口を公開、注意喚起を行った。その巧妙な手口を紹介する。
複数の企業から被害報告
IPAは、2012年4月から活動しているJ-CSIPからの情報提供を受けて、国内で横行しているビジネスメール詐欺の手口を公開した。J-CSIPは、経済産業省の呼び掛けて標的型メール攻撃など重要インフラ企業などを狙ったサイバー攻撃に対し、各業界で横断的に情報交換するために、IPAをハブとして設立された組織。現在7つの業界別SIG(Special Interest Group)に87の企業が参加している。
IPAによると、J-CSIPに参加している複数の企業からビジネスメール詐欺の攻撃を受けたとの報告があり、中には実被害が生じていることも確認されたという。被害金額が高額化する傾向にあるとういうビジネスメール詐欺、被害を防止するためには、ターゲットである経理部門等が手口の存在を知ることが大事だとしている。
この「ビジネスメール詐欺」だが、海外のセキュリティベンダーはBEC(Business E-mail Compromise)と呼んでいる。IPAはビジネスメール詐欺と呼んでいるが、国内では機関によって呼称が異なっている。例えば、銀行によって「法人間の外国送金の資金をだまし取る詐欺」(三井住友銀行)、「外国送金の資金を騙し取る詐欺」(三菱東京UFJ銀行)、「外国送金詐欺」(みずほ銀行)、「外国送金の送金先口座を変更させる偽の電子メール等」(ゆうちょ銀行)と異なるので注意が必要だ。
ビジネスメール詐欺(BEC)とは、偽の電子メールを企業に送り付けて、従業員を騙して偽の口座に送金させるという、実際に金銭的被害が発生するサイバー攻撃だ。手口的に、攻撃対象の取引内容を知悉しており、事前にマルウェアなどにより社内情報を取得している可能性が高い。2013年10月から2016年6月までの米国での被害額は約31億ドル、1件あたりの平均被害額は約14万ドルと甚大だ。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
