ビジネスメール詐欺 【BEC】 Business Email Compromise

組織内の特定の取引の担当者や決済、送金などの業務に従事する従業員に対し、上長や経営幹部、取引先の担当者などを装った偽のメールを送り付け、攻撃者の用意した銀行口座などに送金するよう指示する。経営トップの極秘案件を装って社内での問い合わせや確認をさせない手口は特に「CEO詐欺」「企業幹部詐欺」などとも呼ばれる。

攻撃者はメールの信憑性を増すためにソーシャルエンジニアリングの手口を利用する。事前に何らかの方法で組織内の役職者や担当者の氏名や職位、メールアドレスなどを調べたり、実際の案件の取引の詳細や担当者などを調べ、実在の人物になりすまして職務上のやり取りにうまく紛れるように偽の送金指示を送る。

手口の詳細は多様で、マルウェアの送り込みやキーロガーなどによる盗聴、メールアカウントの乗っ取りなど情報システムへの攻撃を伴う事例も多い。顧問弁護士や会計事務所など外部の専門家や機関などになりすます場合もある。

関連用語

人工知能

【AI】

IPA

【Information-technology Promotion Agency】

OS

【Operating System】

アカウント

【account】

ファイル

【file】

メールアカウント

【email account】

メールアドレス

【e-mail address】

なりすまし

【スプーフィング】

添付ファイル

【attached file】

アクセス

【access】

サイバー攻撃

【cyberattack】

マルウェア

【malware】

ネットワーク

【network】

システム

【system】

ツール

【tool】

セキュリティ

【security】

パスワード

【password】

リスト

【list】

クラウド

【cloud】

リスク

【risk】