ビジネスメール詐欺の対策

ビジネスメール詐欺とは

ビジネスメール詐欺（Business E-mail Compromise：BEC）とは、偽のメールを企業などに送り付け、従業員を騙して送金させるなどの金銭被害をもたらすサイバー攻撃です。

送信元のメールアドレスは、取引先を模したメールアドレスを使うなど、本物のメールと見分けづらくなっています。また、ビジネスメール詐欺は企業間の金銭の授受を装うため、金銭の被害は高額であり、被害に遭った際の影響も大きくなります。

本記事は、情報処理推進機構（IPA）の「ビジネスメール詐欺に関する事例と注意喚起」をベースに解説します。

ビジネスメール詐欺の手口は以下になります。

取引先との請求書の偽装
請求に係るやり取りを行っている際に、攻撃者が取引先になりすまし、攻撃者の用意した口座に差し替えた請求書を送り付け、振り込みをさせるものです。海外の企業とやり取りを行ってい要る企業が被害にあう傾向があります。
搾取メールアカウントの悪用
攻撃者が従業員のメールアカウントを何らかの手段で盗み出し、乗っ取った上で、そのアカウントが過去に取引のある別の企業に、偽の請求書を送り付けるものです。
経営者等へのなりすまし
企業の経営者などになりすまし、財務部門の担当者に、攻撃者の用意した口座に振り込ませるものです。
社外の権威ある第三者へのなりすまし
社外の弁護士などになりすまし、財務部門の担当者に、攻撃者の用意した口座に振り込ませるものです。

いずれの攻撃も事前に、なりすます相手の情報や攻撃対象の情報を入手する必要があります。

ビジネスメール詐欺の対策は、システム上の技術的な対策と人的な対策に分かれます。まず技術的な対策は以下になります。

電子署名の付与
S/MIMEやPGPなど電子署名を付けることでなりすましを防止する。
マルウェア・不正アクセス対策
メールの送信元を偽装するため、アカウント情報などメールの内容が搾取されている可能性があります。情報を搾取するマルウェアやメールサーバへの不正アクセスを防止する対策が必要になります。

次に人的な対策は以下になります。

普段と異なるメールに注意
攻撃者が自分の母国語でない場合では、普段と異なる言い回しや表現の誤りが含まれることがあります。過去にやり取りしている相手であっても、このような変化には注意が必要です。
メール以外の方法で確認
振込先の口座の変更や急な送金など、これまでと異なる行動を要求された場合は、電話などメールと異なる手段で事実を確認をすることを推奨します。
類似ドメインの調査
攻撃者は送信元を詐称するため、攻撃対象のドメイン名に似た詐称用ドメインを取得します。そのため、自組織に似たドメイン名が取得されていないか定期的に確認し、必要であれば注意喚起を行う必要があります。

尚、ビジネスメール詐欺の事例の中には、詐称用ドメインのDNSサーバの設定を行い、SPF（Sender Policy Framework）レコードが存在した場合がありました。そのため、SPF検証は、ビジネスメール詐欺の対策には効果がないとされています。