1,000万円超を詐取されたビジネスメール詐欺(BEC)の事例を解説 IPA

掲載:2024年06月05日

サイバー速報

         
目次

情報処理推進機構(IPA)はこのほど、ビジネスメール詐欺(Business E-mail Compromise、BEC)の新たな事例解説をサイトに掲載しました。1,000万円を超える金額が詐取された事例であり、詐欺の巧妙な手口の詳細を紹介しています。詐欺に使われたメールはすべて英語でやり取りされたものですが、事例解説では日本語によるイメージ図で説明されており、攻撃者から仕掛けられた罠や、偽物だと見破れない仕組みなどを理解しやすくする工夫がなされています。

公開された文書は「ビジネスメール詐欺(BEC)の詳細事例7~取引先のメールアカウントが乗っ取られ詐欺メールを送信された事例~」と題され、表紙を含め全20ページにわたって一つのBECを丁寧に解説しています。それによると、被害にあったのは国内企業で、海外企業との取引において先方になりすました攻撃者から送金口座の変更を求めるメールを受信、結果として偽メールの指示に従ってしまったことで金銭を詐取されてしまいました。

メールアドレスを乗っ取った攻撃者は製品担当者と会計担当者になりすまし、送金口座の変更を2度にわたり要求しました。2度目は意図的に支払日直前に依頼したと推測され、支払い期日が迫るなか、標的の人物に対応を急がせ、十分な確認時間が取れない状況を作り出し、詐欺発覚を免れようとしたと解説されています。

他方、被害企業は一度目のメール内容に疑問を持ち、質問などをしていますが、詐欺が発覚するまでには至らず、偽メールの変更依頼に応じる形で金銭を詐取されてしまいました。

IPAではこの事例に限らず、個人で詐欺を見抜くことはより難しい状況になってきているとし、組織全体でビジネスメール詐欺対策に取り組むよう推奨しています。