1,000万円超を詐取されたビジネスメール詐欺(BEC)の事例を解説 IPA
掲載:2024年06月05日
サイバー速報
目次
情報処理推進機構(IPA)はこのほど、ビジネスメール詐欺(Business E-mail Compromise、BEC)の新たな事例解説をサイトに掲載しました。1,000万円を超える金額が詐取された事例であり、詐欺の巧妙な手口の詳細を紹介しています。詐欺に使われたメールはすべて英語でやり取りされたものですが、事例解説では日本語によるイメージ図で説明されており、攻撃者から仕掛けられた罠や、偽物だと見破れない仕組みなどを理解しやすくする工夫がなされています。
公開された文書は「ビジネスメール詐欺(BEC)の詳細事例7~取引先のメールアカウントが乗っ取られ詐欺メールを送信された事例~」と題され、表紙を含め全20ページにわたって一つのBECを丁寧に解説しています。それによると、被害にあったのは国内企業で、海外企業との取引において先方になりすました攻撃者から送金口座の変更を求めるメールを受信、結果として偽メールの指示に従ってしまったことで金銭を詐取されてしまいました。
メールアドレスを乗っ取った攻撃者は製品担当者と会計担当者になりすまし、送金口座の変更を2度にわたり要求しました。2度目は意図的に支払日直前に依頼したと推測され、支払い期日が迫るなか、標的の人物に対応を急がせ、十分な確認時間が取れない状況を作り出し、詐欺発覚を免れようとしたと解説されています。
他方、被害企業は一度目のメール内容に疑問を持ち、質問などをしていますが、詐欺が発覚するまでには至らず、偽メールの変更依頼に応じる形で金銭を詐取されてしまいました。
IPAではこの事例に限らず、個人で詐欺を見抜くことはより難しい状況になってきているとし、組織全体でビジネスメール詐欺対策に取り組むよう推奨しています。
おすすめ記事
- 標的型メール攻撃
- ゼロトラスト
- サイバーキルチェーン
- サイバー攻撃に使われる「OSINT」とは
- フィッシング攻撃
- NIST CSF 2.0版~改訂のポイント~
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- ゼロトラスト・アーキテクチャ導入のための「NIST SP800-207」
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- ISO27001と情報セキュリティマネジメントシステム(ISMS)
- CSIRT
- ゼロデイ攻撃
- ランサムウェア被害は高止まり、2023年のサイバー空間をめぐる脅威の情勢に関する資料を公表 警察庁
- サイバーセキュリティ啓発、ビジネスメール詐欺に関する特設ページを公開 IPA
- 「メール訓練手引書一般公開版 v1.0」 を公表 日本シーサート協議会
- 「ビジネスメール詐欺」の手口について注意喚起 IPA
- メール誤送信が1.5倍、2021年度「個人情報の取扱いにおける事故報告集計結果」を公表 JIPDEC
- 「ビジネスメール詐欺の実態調査報告書」を公表 JPCERT/CC
- 「迷惑メール白書 2022-2024」を発行 迷惑メール対策推進協議会
- SPI Ⅲの改定案「スマートフォン プライバシー セキュリティ イニシアティブ」などについて意見公募を実施 総務省