新たな脅威として「ビジネスメール詐欺」(BEC:Business E-mail Compromise)が注目されている。BECとは、メールを使った詐欺の一種。取引先や上司などをかたった偽のメールを組織や企業の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のこと。

関連記事:次の脅威は「ビジネスメール詐欺」、手口はまるでオレオレ詐欺
http://itpro.nikkeibp.co.jp/atcl/watcher/16/110700001/042000032/

 2013年以降、被害が相次いでいる。最近では米フォーチューンが4月下旬、米グーグルと米フェイスブックが2013年から2015年にかけて、合計1億ドル以上をだまし取られたと伝えている。
http://fortune.com/2017/04/27/facebook-google-rimasauskas/

 「偽メール一つで簡単に送金してしまうなんて信じられない」。そう思う人は少なくないだろう。だが、実際の事件が証明しているように、用心深い担当者であってもだまされてしまうのだ。攻撃者が工夫を凝らしているためである。請求などに関する通常のメールのやり取りをよく観察し、それらと同じフォーマットで偽メールを送り付けるので、大抵の人はだまされてしまうのだ。

 そのための工夫の一つが、メールの送信元アドレスである。送信元の表示名を偽装することはもちろん、メールアドレス自身も受信者をだますために“偽装”する。具体的には、偽装相手のドメイン名と似たドメイン名を実際に取得するのだ。
http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/050800001/address.jpg

 情報処理推進機構(IPA)が2017年4月に公開したレポートによると、送信元メールアドレスの偽装方法にはいくつかあり、似たドメインを使う方法では、実際にそのドメイン名を取得するという。
https://www.ipa.go.jp/security/announce/20170403-bec.html


攻撃者によるメールアドレスのなりすましの例
(出所:情報処理推進機構)
http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/050800001/spf.jpg

 ドメイン名を実際に取得することで、見た目を偽装できるだけではなく、SPF(Sender Policy Framework)などによるユーザードメイン認証も回避できる。そのドメインのメールサーバーとDNSサーバーを用意し、SPFレコードを登録しておけば、だまそうとする相手のSPF検証を通過できる。

続きはソースにて

2017/05/11 5:00
ITpro
http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/050800001/