ニュース
あの手この手でだます“ビジネスメール詐欺”の怪しさを見抜くには? なりすましメールアドレスの手口とその対策方法
2017年4月4日 19:02
独立行政法人情報処理推進機構(IPA)は3日、“ビジネスメール詐欺(BEC)”に関する注意喚起を行うとともに、実際にあった詐欺の事例紹介や使われた攻撃の手口、対策について解説するレポート「ビジネスメール詐欺『BEC』に関する事例と注意喚起」を公開した。
ビジネスメール詐欺などは、巧妙に細工したメールのやり取りにより企業の担当者をだまし、送金取引にかかわる資金を詐取するサイバー攻撃のことを主に指す。直接的に金銭を狙うため、金銭被害は多額になる傾向があり、手口の悪質さ・巧妙さは諜報活動などを目的とする“標的型サイバー攻撃”とも通じる点がある。IPAでは、被害を防止するために企業の経理部門などが手口の存在を知ることが重要だとしている。
米国のIC3(Internet Crime Complaint Center)やトレンドマイクロ株式会社では、ビジネスメール詐欺の手口を以下の5つのタイプに分類。2015年から2016年にかけて発生したビジネスメール詐欺に関して「サイバー情報共有イニシアティブ(J-CSIP)」に情報提供された事例もこれらに当てはまった。
1)取引先との請求書の偽装
2)経営者などへのなりすまし
3)窃取メールアカウントの悪用
4)社外の権威ある第三者へのなりすまし
5)詐欺の準備行為と思われる情報の詐取
J-CSIPに情報提供された4件のうち3件は、海外企業との請求にかかわるメールでのやりとりで攻撃を受けたもので、これは1つ目のタイプに該当する。また、1件は、国内企業の社長をかたり、海外関係企業に対して送金依頼をするもので、2つ目のタイプに該当する。なお、これら攻撃者から送られてきたメールはすべて英語が使われており、日本語の偽メールや、国内企業間での被害事例はJ-CSIP内では現在までに確認されなかったという。
ビジネスメール詐欺では、他の人物を詐称するだけでなく、メールアドレスの見た目によるなりすましの手口も用いられる。攻撃者は偽のドメイン名を取得・登録するため、メールの送信者欄を注意深く確認する必要がある。作り方には特徴があり、次のようなメールアドレスが使われる傾向がある。
1)メールアドレスを1文字入れ替える
2)メールアドレスに1文字追加する
3)メールアドレスを1文字削除する
4)メールアドレスの一部を誤認しやすい文字に置き換える
5)フリーメールサービスを使い、それらしいメールアドレスを作る
例えば、本物のメールアドレスが、「alice@company-a.com」の場合、「alice@compnay-a.com」「alice@companys-a.com」「aalice@company-a.com」など一部改変を加えたものが使われることになる。
そのほか、なりすましメールの発覚を遅らせるため、あるいは受信者に本物のメールであると錯覚させるため、攻撃者がメールのTo(宛先)やCc(同報先)に設定するメールアドレスを細工することがある。
ある事例では、攻撃者が取引の多数の関係者に対して同報するメールのように錯覚させつつ、実際にはだます相手だけにメールが届くように細工するケースが確認された。
フリーメールサービスよりも見破りにくい正規のドメイン名に似通った詐称用ドメイン名が利用されるケースもあった。この詐称用ドメインのDNS情報にはSPF(Sender Policy Framework)レコードも存在しており、SPF検証を通過する状態になっていた。この場合、不審なメールを判断するためのシステム的対策には効果がなくなるため、受信者がメールアドレスに注意して、ドメイン名が異常であることに気付くことが重要となる。
IPAではビジネスメール詐欺は技術的な対策による防止が難しいため、手口を理解し、怪しさを見抜くことが重要だという。また、詐欺の存在を前提とした、送金前のチェック体制を強化するなど複数防御層を設けることを推奨している。
具体的には、取引先との電話やFAXなどメールとは異なる手段で取引先に事実を確認すること、普段とは異なるメールに注意すること、重要情報をメールで送受信する際は電子署名を付けること、不審なメールに関して組織内外で情報の共有を行うこと、基本的なウイルス・不正アクセス対策を施すこと、類似ドメイン名の調査を行うことを挙げている。