これはだまされる？ 「Dropbox」を悪用したビジネスメール詐欺の手口が巧妙

　Dropboxのサービスを悪用するフィッシング詐欺の攻撃が急増しているとして、セキュリティ企業であるチェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）が情報を公開しました。2023年9月の最初の2週間で、5550件の攻撃が確認されているようです。

　ネット詐欺師はDropboxを悪用し、正式なダウンロードリンクのメールを送信した後、最終的にOneDriveなどを偽装したフィッシング詐欺のウェブページに誘導します。そこで、認証情報を入力させてだまし取るというわけです。

　これは、ビジネスメール詐欺（Business Email Compromise：BEC）の一種です。企業や組織をターゲットにフィッシングの手口を介し、認証情報のほか、金銭や機密情報をだまし取るのです。BECはアメリカでは2022年に27億ドル（約4000億円）もの被害を出している深刻な手口の一つです。

進化した「BEC 3.0」では正規サービスを悪用した手口に

　BECの手口は進化してきています。同社によると、BECは「BEC 1.0」、「BEC 2.0」、「BEC 3.0」に分類され、BEC 1.0では、会社の上司や関係者になりすまして偽メールを送って送金させていました。BEC 2.0では、組織内の人物や関係者のアカウントに不正アクセスし、請求書の振込口座の情報を書き換えて自分のところへ送金させようとします。今回のDropboxを悪用した詐欺のように、正規サービスを利用して油断させ、フィッシング詐欺を仕掛ける手口はBEC 3.0としています。

　一般的なセキュリティソフトではリンク先をスキャンして脅威を検出しますが、Dropboxからの正式なメールなので検知できません。最終的に誘導されるフィッシングサイトのURLはDropboxでもOneDriveでもないのですが、ここまで操作してしまったユーザーは疑わずに認証情報を入力してしまう可能性があります。

Dropboxからダウンロードリンクが送られてきます（画像はチェック・ポイント・ソフトウェア・テクノロジーズより）

Dropbox内のページにOneDriveを模したダウンロードリンクが表示されます（画像はチェック・ポイント・ソフトウェア・テクノロジーズより）

「ドキュメントを取得する」をクリックすると、OneDriveを装ったフィッシングサイトが開きます（画像はチェック・ポイント・ソフトウェア・テクノロジーズより）

　セキュリティサービスでもユーザー側でも判別が難しいネット詐欺ですが、それでも被害に遭わないためには注意しておく必要があります。チェック・ポイントは今回のような事例を把握し、知ってもらうための社員教育が重要だとしています。

　また、Dropboxのリンクがあるメールを受け取った従業員が、送信者が知っている人かどうかを確認すること、加えて、「クラウドストレージのDropboxから、OneDriveのウェブページを開かせる合理的な理由があるのか？」と疑問を持てるようになることが重要と述べています。

　このような事例を参考に、有名なサービスからの正規のメールであっても、送信してきた相手が知っている人か、ツールの使い方に不自然な点はないかなどをチェックする癖を付けましょう。アカウント情報を入力する際は、特に注意が必要です。現時点では、企業をターゲットにしているようですが、個人を狙う手口が広まる可能性も考えられます。

　本連載も参考に、未知のネット詐欺に遭遇した場合でも被害に遭わないためのデジタルリテラシーを身に付けて自衛しましょう。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。

※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考：ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと