新たな脅威として「ビジネスメール詐欺」(BEC:Business E-mail Compromise)が注目されている。BECとは、メールを使った詐欺の一種。取引先や上司などをかたった偽のメールを組織や企業の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のこと。
2013年以降、被害が相次いでいる。最近では米フォーチューンが4月下旬、米グーグルと米フェイスブックが2013年から2015年にかけて、合計1億ドル以上をだまし取られたと伝えている。
「偽メール一つで簡単に送金してしまうなんて信じられない」。そう思う人は少なくないだろう。だが、実際の事件が証明しているように、用心深い担当者であってもだまされてしまうのだ。攻撃者が工夫を凝らしているためである。請求などに関する通常のメールのやり取りをよく観察し、それらと同じフォーマットで偽メールを送り付けるので、大抵の人はだまされてしまうのだ。
そのための工夫の一つが、メールの送信元アドレスである。送信元の表示名を偽装することはもちろん、メールアドレス自身も受信者をだますために“偽装”する。具体的には、偽装相手のドメイン名と似たドメイン名を実際に取得するのだ。
情報処理推進機構(IPA)が2017年4月に公開したレポートによると、送信元メールアドレスの偽装方法にはいくつかあり、似たドメインを使う方法では、実際にそのドメイン名を取得するという。
ドメイン名を実際に取得することで、見た目を偽装できるだけではなく、SPF(Sender Policy Framework)などによるユーザードメイン認証も回避できる。そのドメインのメールサーバーとDNSサーバーを用意し、SPFレコードを登録しておけば、だまそうとする相手のSPF検証を通過できる。