サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 社長になりすまし振り込みを依頼、ビジネスメール詐欺への対策

社長になりすまし振り込みを依頼、ビジネスメール詐欺への対策

社長になりすまし振り込みを依頼、ビジネスメール詐欺への対策
目次
  • 今回の解説ニュース
  • 被害件数急増「ビジネスメール詐欺」とはどういったものなのか
  • なりすましメールに対して、機能や仕組みとして有効な対策

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

社長になりすましグループ企業取締役に金銭要求 ~ IPA「BEC事例集」新規事例

IPAは、「ビジネスメール詐欺 事例集」に事例を追加したと発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

社長になりすました振り込め詐欺が「ビジネスメール詐欺」の事例に追加されたということです。ビジネスメール詐欺の概要や、なりすましメールの対策について説明します。

今回の事例集は、ビジネスメール詐欺被害の早期発見や、未然防止、啓発活動における事例紹介の一助として、セキュリティ上の取り組みの促進に役立てることを目的としています。今回、新たに追加された事例は「国内企業社長になりすまし、グループ企業役員に金銭の支払を要求した事例」です。具体的には、2022年8月に国内の企業の社長になりすました攻撃者から、東南アジアのグループ企業の役員に対して、企業の合併買収について協力してほしいと称するメールが送られたものです。

同社は、なりすましメール対策として、送信ドメイン認証SPFの設定を変更したほか、DMARCの導入検討も開始したということです。

被害件数急増「ビジネスメール詐欺」とはどういったものなのか

ビジネスメール詐欺とは、巧妙な騙しの手口を駆使した偽のメールを組織や企業に送信し、従業員を騙して攻撃者の用意した口座へ送金させる詐欺の手口です。IPAが毎年公開している情報セキュリティ10大脅威にも毎年ランクインしており、年々その被害は増加傾向にあります。

例えば、Aさんが社長である私からメールを受け取ったとします。「プロジェクト開発に必要な人材がいるから、採用のために入社支度金を管理部に依頼して振り込んでください」と。仲間が増えてうれしいAさんは、何も疑わずに管理部へ入社支度金を振り込むように、私が指定した口座情報を共有してしまうかもしれません。もちろん、私は社内の連絡にメールは一切使いませんので、その時点でAさんは怪しいと気が付いてくれるはずです。

このように、ビジネス上のやり取りメールをなりすまして、攻撃者の用意した口座へ送金させるのがビジネスメール詐欺の手口です。今回、更新された事例集では、銀行口座証明書類を偽造し振込先口座変更を依頼してきた事例や、毎月の支払方法を変更させられ数か月間偽口座へ送金してしまった事例、取引相手の証明書類を偽装した事例も挙げられています。また、偽口座送金後、一部資金を回復できた事例や、銀行と協力し、偽口座への送金を防げた事例もありますので、万が一送金してしまったとしてもあきらめずに、関係各所と連携して、対応を検討してください。

なりすましメールに対して、機能や仕組みとして有効な対策

なりすましメールの対策として、今回の記事でも紹介されているSPFやDMARCが挙げられます。しかし、すべてのなりすましメールを防ぐ対策とはなりませんので、メールの仕組みに頼らない対策も求められます。

SPFとは、Sender Policy Frameworkの略で、メールの送信元ドメインがなりすまされていないかを検査するための仕組みです。DNSと連携させることで、そのドメインの管理者によって設定されていることが確認できるため、なりすまされていないことの証明となります。

また、DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略で、メール送信者のドメインを認証する仕組みです。SPFと同様にDNSと連携するとともに、認証に失敗した場合、どのような処理をするかはドメイン所有者が決められる特徴を持っています。

少し技術的な用語の説明となってしまいましたが、これらの技術的ななりすましメールの対策だけでは、すべてのビジネスメール詐欺へ対応することはできません。具体的には、メールのアカウントを乗っ取られてしまうと、正しいユーザからビジネスメール詐欺のメールが送られることになりますので、なりすましメールとみなすことができないことになります。これらが、メールアカウントを乗っ取るサイバー攻撃が行われる理由のひとつです。

ビジネスメール詐欺の対策として、少しでも怪しいと思ったら、相手が本人であるかどうかメールとは別の手段で確認することが求められます。なりすましメールの返信によってビジネスメール詐欺であることを確認された事例も公開されていますが、攻撃者が犯人であることを自ら名乗ることはありませんので、確実な方法で本人からのメールであることを確認するようにしましょう。

今回は、ビジネスメール詐欺の概要や、なりすましメールの対策についてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ