新たな脅威として「ビジネスメール詐欺」(BEC:Business E-mail Compromise)が注目されている。BECとは、メールを使った詐欺の一種。取引先や上司などをかたった偽のメールを組織や企業の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のこと。

 2013年以降、被害が相次いでいる。最近では米フォーチューンが4月下旬、米グーグルと米フェイスブックが2013年から2015年にかけて、合計1億ドル以上をだまし取られたと伝えている

 「偽メール一つで簡単に送金してしまうなんて信じられない」。そう思う人は少なくないだろう。だが、実際の事件が証明しているように、用心深い担当者であってもだまされてしまうのだ。攻撃者が工夫を凝らしているためである。請求などに関する通常のメールのやり取りをよく観察し、それらと同じフォーマットで偽メールを送り付けるので、大抵の人はだまされてしまうのだ。

 そのための工夫の一つが、メールの送信元アドレスである。送信元の表示名を偽装することはもちろん、メールアドレス自身も受信者をだますために“偽装”する。具体的には、偽装相手のドメイン名と似たドメイン名を実際に取得するのだ。

 情報処理推進機構(IPA)が2017年4月に公開したレポートによると、送信元メールアドレスの偽装方法にはいくつかあり、似たドメインを使う方法では、実際にそのドメイン名を取得するという。

攻撃者によるメールアドレスのなりすましの例
攻撃者によるメールアドレスのなりすましの例
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 ドメイン名を実際に取得することで、見た目を偽装できるだけではなく、SPF(Sender Policy Framework)などによるユーザードメイン認証も回避できる。そのドメインのメールサーバーとDNSサーバーを用意し、SPFレコードを登録しておけば、だまそうとする相手のSPF検証を通過できる。

SPFレコード設定済みの詐称用ドメインによるなりすましメールの配送
SPFレコード設定済みの詐称用ドメインによるなりすましメールの配送
(出所:情報処理推進機構)
[画像のクリックで拡大表示]