情報処理推進機構(IPA)は8月27日、「ビジネスメール詐欺(BEC)」が日本企業にとって差し迫った脅威になったとして注意を呼び掛けた。IPAへの情報提供は2015年11月~2018年7月に計17件あり、うち5件で金銭的な被害が確認されている。
BECは、以前から世界中の企業で脅威となっており、米連邦捜査局(FBI)の最新報告によれば、同2018年5月までの累計損失額が125億3694万8299ドル(約1兆3825億円)に上る。7月にIPAとしては初めて、日本語のBECを確認したという。
このケースでは、メールの送信者として最高経営責任者(CEO)を詐称。文中に偽の弁護士の存在にも触れ、受信者に機密扱いを要求していた。受信者が返信すると、約5分後に「ビットコインの購入準備のため、国際送金の必要がある」といった主旨のメールが送り付けられた。このやり取りは全て日本語だった。最初のメールでは、CEOを自称する攻撃者が偽の弁護士とやり取りしているかのような英文メールを引用していた。
IPAが確認した日本語による最初の詐欺メール(出典:IPA)
受信者の返信後に再度送られたメールの内容(出典:IPA)
また攻撃者は、金融庁の正規ドメインに似た偽の「詐称用ドメイン」を新規に取得して、DNSやメールサーバの設定も実施していたことが分かった。詐称用ドメインのDNS情報に「SPF(Sender Policy Framework)」レコードも存在し、SPF検証も「Pass」する状態だったという。こうしたことからIPAは、一般的な不審メールを判断するため「フリーメールアドレスからのメールに警告を付与する」や「SPF検証を行う」などの対策が通用しないと指摘。受信者がメールアドレスに注意し、ドメイン名の異常に気づくことが重要になると指摘する。
これまでに確認されたBECの多くは英文メールだったが、IPAは今回のケースを踏まえ、日本語メールによる攻撃や、海外との取引関係や英文メールのやり取りの経験が少ない日本企業が被害に遭う可能性が急激に高まる恐れがあると警鐘を鳴らす。
下記のような注意点を挙げるとともに、今回のケースを含むBECのレポート(PDF)を公開して、企業に対策を呼び掛けている。
- 普段と異なるメールに注意。不審なメールは社内で相談・連絡し、情報共有する
- 電信送金に関する社内規程の整備(チェック体制の整備)。急な振込先や決済手段の変更などが発生した場合、取引先へメール以外の方法で確認する
- ウイルス、不正アクセス対策。セキュリティソフトを導入し、最新の状態にする。メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しをしない。メールシステムでの多要素認証、アクセス制限の導入を検討する