図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ビジネスメール詐欺(BEC)とは? 図解サイバーセキュリティ用語 

投稿日:2017年4月10日 更新日:

IPAが偽口座への送金を促すビジネスメール詐欺への注意喚起を行っています。ビジネスメール詐欺はBECとも言われており、BECはBusiness Email Compromiseの略です。このビジネスメール詐欺は古典的な詐欺手法で昔から存在していましたが、その多くは英語圏の会社を狙ったものでした。しかしながら最近では日本語版のビジネスメール詐欺が増加しており、日本が明確なターゲットとなり、かつ部分的に日本人が関与している可能性が大きくなってきています。

ビジネスメール詐欺(BEC)の仕組み

ビジネスメール詐欺とは、攻撃者が巧妙なメールをターゲットの会社担当者に送信して、攻撃者の銀行口座にお金を送金するように仕向ける詐欺の事を言います。良くある例としては、会社の担当者間で請求書に関するメールのやり取りが行われているとしましょう。

ビジネスメール詐欺の仕組み

攻撃者は様々な手段で予めこの担当者間のメールのやり取りを盗み見る事ができるようにしています。攻撃者はこのメールを盗み見して、このメールを利用して会社の担当者に、「口座の変更が発生したので、こちらの口座に振り込んでください。」のようなメールを送信します。「こちらの口座」とはもちろん攻撃者が用意した偽口座です。攻撃者は盗み見したメールをそのまま利用して送信しますが、返信が攻撃者に帰ってくるようにメールアドレスを本物に似せたものを用意して利用します。

ビジネスメール詐欺(BEC)対策

ビジネスメール詐欺はフィッシング詐欺の一種です。ですので、ある程度は技術的に防ぐ事もできますが、100%防ぐ事はできません。他のフィッシング詐欺と同じくユーザへの教育が一番重要になってきます。例えば、セキュリティ部門が定期的にビジネスメール詐欺に関する注意喚起メールを社員に送信する事が望ましいです。また、経理部門など他社への支払い業務が発生する部門では支払いに関するプロセスやポリシーを明確にして、支払い先の変更があった際は社内プロセスにて承認を得る、などの手続きを行う事である程度ビジネスメール詐欺を防ぐ事ができます。

広告

広告

-図解サイバーセキュリティ用語

関連記事

no image

危険なパスワード2017

調査会社のSplashDataが2017年の危険なパスワード100「Worst Passwords of 2017 Top 100」を公開しました。ひとまずランキング1位から10位を紹介します。 Ra …

C2サーバ、C&Cとは 図解サイバーセキュリティ用語

C2サーバもしくはC&Cはコマンド&コントロールサーバの事です。C2サーバは攻撃者がユーザの端末に感染したマルウェアに対してコマンドを送信したり、マルウェア経由でユーザの端末のデータを受信したりする役 …

Pass-the-Hash 図解サイバーセキュリティ用語

Pass-the-Hashは、攻撃者がパスワードを利用して認証するのではなく、パスワードのハッシュを利用して認証を行う攻撃の事を言います。 通常、認証システムはユーザのパスワードを平文で保存しているわ …

クロスサイトリクエストフォージェリ (CSRF) 図解サイバーセキュリティ用語

クロスサイトリクエストフォージェリ (CSRF)は、一般ユーザが知らない間にサイバー攻撃に加担してしまう事で、攻撃者がターゲットに対して間接的に攻撃を行う事ができます。クロスサイトリクエストフォージェ …

短縮URLとセキュリティ問題

短縮URLとはオリジナルのURLにリダイレクトするように設定された文字数が短いURLの事を言います。例えば、https://www.cyber-attack.net/cyber-security-di …