ビジネスメール‐さぎ【ビジネスメール詐欺】
ビジネスメール詐欺
【英】Business Email Compromise, BEC
ビジネスメール詐欺とは、ビジネスメールを装って行われる詐欺の手口の総称である。
ビジネスメール詐欺はウェブ上で公開されている企業の担当者のメールアドレスやアカウント名から実際に用いられている(あるいは用いられていそうな)メールアドレスを収集し、顧客や上司といった関係者を装って連絡を送る。その意味では、ビジネスメール詐欺の多くはなりすまし詐欺でもある。業務連絡は信憑性のある内容となりやすく、比較的だましやすい。また、比較的まとまった金額を詐取しやすい。
ビジネスメール詐欺のうち、会社の経営者からの指示を装う種類の手口を、CEO詐欺と呼ぶこともある。
参照リンク
企業から金銭をだまし取る、ビジネスメール詐欺「BEC」が増加中 - (トレンドマイクロ セキュリティブログ)
ビジネスメール詐欺
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「ビジネスメール詐欺」の解説
ビジネスメール詐欺(BEC、Business Email Compromise)とは、自社の経営層や取引相手になりすました偽のEメールで経費などの送金を指示する事で金銭をだまし取る詐欺。その巧妙な騙しの手口は標的型攻撃に通じるところがある。ビジネスメール詐欺には以下の5つの類型がある: 取引先との請求書の偽装(偽の請求書詐欺、サプライヤー詐欺、請求書偽装の手口などと呼ばれる) 経営者等へのなりすまし(CEO詐欺、企業幹部詐欺などと呼ばれる) 窃取メールアカウントの悪用(従業員のメールアカウントを窃取して、そのアカウントから取引先にメールを出す手法) 社外の権威ある第三者へのなりすまし(弁護士などになりすまし、緊急の事態だから振り込むように命令する等) 詐欺の準備行為と思われる情報の詐取(人事担当などになりすましてメールし、他の従業員の個人情報などを窃取し、次なる攻撃に利用する) 手口としては 企業のメールアドレスの@以下とよく似た詐称用ドメインを取得してそこからメールする(例:xxx@wikipedia.com→xxx@wikiqedia.com) 企業のメールアドレスに似たフリーメールアドレスを使う(例:xxx@wikipedia.com→xxx.wikipedia@freemail.com) メールを送る際、多人数にCcしてそこに詐欺用のアドレスを紛れ込ませる事で発覚を遅らせたり本物と錯覚させたりする といったものがある。なお詐称用ドメインを利用する手法では詐称用ドメインのDNSにSPFを設定してSPFのチェックを通過する攻撃も確認されている。
※この「ビジネスメール詐欺」の解説は、「サイバーセキュリティ」の解説の一部です。
「ビジネスメール詐欺」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- ビジネスメール詐欺のページへのリンク