Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「機密扱いで頼む」との社長メール、実は詐欺 - 日本語「BEC」見つかる

日本語で記載された「ビジネスメール詐欺(BEC)」が国内で確認されたとして、情報処理推進機構(IPA)は、類似した手口に注意するよう呼びかけている。

同機構によると、7月に入り、サイバー情報共有イニシアティブ「J-CSIP」の参加企業から、日本語によるビジネスメール詐欺の報告がはじめて寄せられたという。これまでも「BEC」に関する17件の情報提供を受けてきたが、いずれも英語によるものだった。

今回確認されたメールでは、「最高経営責任者」などとして実際のCEOの氏名を署名に記載。メールの差出人の表示において、CEOの氏名とメールアドレスを詐称していたほか、メールの本文では受信者に他言させないよう「内々に機密扱いでお願いしたい」などと話を持ちかけていた。

さらに「金融庁の取り決めでやりとりはすべてメールで行う」などと説明。弁護士に対してCCによる同報送信を行うよう指示する一方、弁護士事務所に似せた偽ドメインのメールアドレスを記載。

あたかも第三者である弁護士が介在する正規の依頼であり、対応を怠ると問題が発生するかのように見せかけるなど、ソーシャルエンジニアリングのテクニックを用いて信用させようとしていた。

20180827_ip_001.jpg
日本語によるビジネスメール詐欺の文面。差出人は実在する人物やメールアドレスを詐称していた(画像:IPA)

(Security NEXT - 2018/08/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

「ウェブメール」のフィッシング被害が増加 - 偽フォームにメアドを自動入力する演出も
2021年3Qの情報提供は346件、標的型攻撃は3件 - J-CSIP
2021年2Qの標的型攻撃に関する情報共有は40件 - J-CSIP
コロナ禍2度目の夏期休暇 - パッチチューズデーと重なるおそれも
2021年1Qの標的型攻撃メール報告は13件 - 「Emotet」関連報告は収束へ
コロナ禍2度目のGW、セキュ対策を再確認 - 感染時リスクも想定を
2020年の緊急対応支援、3割強が「Emotet」 - ラック
「情報セキュリティ10大脅威 2021」が決定 - 研究者が注目した脅威は?
2020年4Qの標的型攻撃メールは16件 - 目的不明のバラマキ不審メールも
コロナ禍ではじめて迎える冬期長期休暇 - あらためてセキュ対策の確認を