ビジネスメール詐欺(BEC)対策特設ページの紹介
ビジネスメール詐欺(以下、BEC)とは?
会社など組織に向けてメールを偽装し、金銭を騙し取る手法です。IPAさんが公開している「セキュリティ10大脅威 2023 組織編」で7位にランクインしているものです。
IPAさんが「ビジネスメール詐欺(BEC)対策特設ページ」を開設されています。事例を学び、組織としてできる対策を実施していきましょう。
2パターンの詐欺
詐欺のパターンで多いのは、下の2つだそうです。
取引先からの請求書を偽装するパターン
経営層に成りすますパターン
詐欺などの犯罪に対抗するためには、事例を知り、対策を立てる必要があります。この2つのパターンについて、IPAさんの特設ページを読み、会社内で対策を立て、関係者に注意喚起を促していくことが重要です。
事例
IPAさんが、BECに関する事例を公開されています。パターンごとに事例の一部を紹介します。
請求書を偽装するパターン
こちらの事例3として紹介されているパターンを紹介します。
海外運送会社(B社)と継続的な取引をしていた企業(A社)は、当初小切手による決済を実施していました。そこへ攻撃者が決済方法を銀行振込に変更するよう要求をします。A社の支払担当者は疑うことなく指定された銀行口座に振込を行います。その後、A社からB社に振込をした旨の連絡に対してお礼メールが来ています。しかし、B社には振り込まれていないため確認のメールがあったことで詐欺が発覚しました。その間に3回継続的に支払がなされてしまっていました。
詐欺の発覚が遅れた原因
銀行口座変更の依頼を疑わずに対応を進めた
振込したことの連絡にお礼が来てしまった
未入金の連絡まで長いタイムラグがあった
攻撃の手口
B社のメールアドレスに対して、不正なメール転送設定がされており、メールが盗み見られていた
メールアドレスは、ドメイン名を一部入れ替えたもので、不正に気づきにくいものだった
銀行口座の変更など、支払方法の変更を依頼するメールは、メール送信元のメールアドレスのドメイン名を確認する、メール以外の他の手段で再度本当の依頼であるか確認することが重要です。
経営層に成りすますパターン
経営層に成りすましたパターンの事例が動画で紹介されています。
攻撃の手口
社長から企業買収の件でメールが到着
重要な案件で機密性が高い案件であることが伝えられる
時間をかけ信頼させ、巨額の金額を振り込ませる
BECの対策
・メールによる振込先の変更や、急な振込依頼はメール以外の手段で確認
・不審なメールが来たら周りに相談する
・メールが盗み見されないようセキュリティ対策
→ウイルス対策、パスワード強化、二要素認証の設定など
・振り込んでしまったら銀行へ連絡し、送金を止められるか確認
支払担当者など、社内に脅威を伝えるには、IPAさんの資料を参考にするとよいでしょう
[PR]
グループウエアを導入することで、社内のメンバーからメールが届くことは減り、経営層になりすますパターンのリスク対策になりえます。大規模向けグループウエア、ガルーンのサイトをご覧ください。
[PR]
社外の方とのコミュニケーションにキントーン ゲストスペースを利用することで、メールを偽装されることのリスク対策ができます。
まとめ
BECとは、メールを使って組織から金銭を騙し取るサイバー攻撃です。
主なパターン
取引先からのメールを偽装して振込先を変更させるもの
経営者になりすまし、振り込みを指示するもの
対策
事例を知り、組織内に共有する
メールによる振込先の変更や、急な振込依頼は別の手段で確認する
メールが盗み見されないよう、セキュリティ対策をする
IPAさんが公開されている「ビジネスメール詐欺(BEC)対策特設ページ」を読み、さらに事例を学び、BECから組織を守る対策をとっていただければと思います。