資料の紹介
FBI(米連邦捜査局)は2017年5月、ビジネスメール詐欺(BEC:Business Email Compromise)による被害が世界各国で総額53億米ドル(約5780億円)に到達したことを報告した。日本でも2017年12月に大手航空会社が海外の取引先になりすましたビジネスメールに誘導され、3億8000万円もの詐欺被害に遭ったことが記憶に新しい。ビジネスメール詐欺が日本でも現実のものとなっていることを象徴する出来事となった。
BECが年々増加の一途をたどる背景には、特別な攻撃ツールや技術的な知識をさほど必要としないことが挙げられる。単純な方法にもかかわらず、うっかりだまされてしまうのは、文面、署名、フォーマットなどを含めて本物に瓜二つのメールが届き、疑う余地がないためだ。この種のサイバー犯罪者がたけているのは人間心理の理解や、標的組織の内部事情に精通していることだ。対策としては“BECの手口”を知ることが重要になる。
本資料ではBECの手法を詳細に解説。標的とするメールアカウントにアクセスするための認証情報窃取の手口や、詐欺市場で取引されている具体的ツール、さらにはサイバー犯罪者を実際に追跡して特定した様子までを網羅した。こうした最新の傾向を把握して、技術的・組織的対策の検討をしていくべきだ、としている。
