標的型攻撃メール「BEC」とは?─猛威を振るうサイバー攻撃

標的型攻撃メール「BEC」とは?─猛威を振るうサイバー攻撃

attack_mail_bec_top

最近のトレンドであるサイバー攻撃「BEC」

標的型攻撃メールとして、最近流行っているのが「ビジネスメール詐欺」(BEC:Business Email Compromise)です。世界でも猛威を振るっている攻撃なため手口や被害防止対策を確認しましょう。

Advertisement

ビジネスメール詐欺(BEC)の概要

取引先や自社の経営者等になりすまして、偽のメールを送付することにより高額な現金や機密情報の奪取を目的とした攻撃です。世界規模で拡大しており、トレンドマイクロ株式会社が2017年度の「法人の三大脅威」として、

  • ランサムウェアとWannaCry
  • 公開サーバへの攻撃による情報漏えい
  • ビジネスメール詐欺(BEC)

を挙げています。

2017年法人の三大脅威:ビジネスメール詐欺(BEC)
https://blog.trendmicro.co.jp/archives/16774

 

ビジネスメール詐欺(BEC)の手口

(1)サイバー犯罪者が、攻撃対象者の日常的な業務メールを覗きみる。

(2)最高責任者(CEO)または取引先担当者になりすます

(3)不正な口座への送金を促す
口座を管理している経理担当者へ送金を促す例を記載します。

取引先担当者へのなりすまし

  • <不正取引に使用されたので口座を変更したということで振込先の変更を依頼する/li>
  • 財務調査が入っていて一時的に別口座を用意したので振込先の変更を依頼する

経営者へのなりすまし

  • 内密の買収案件があり、至急に送金して欲しいと告げて振込させる

 

さいごに

事前にどういう攻撃があるかを知っておくことは重要です。
以前に某社にて抜き打ちのデモンストレーションとして、総務担当者になりすまして各社員へ機密情報の共有を求めたところ約7割程の社員から返答がありました。その後に注意喚起を促す講習と不定期の抜き打ちチェックを行っていたところ、ある日「抜き打ちチェックですか?」とある社員から確認で、サイバー攻撃者からの実際の攻撃を免れた会社もあります。

サイバー犯罪者から標的型の攻撃対象となったときは、攻撃事態を避けることは非常に難しいですが出来る限りの事前準備を行い、被害を最小限に食い止めましょう。

Advertisement

セキュリティ・法律カテゴリの最新記事