取引先企業などになりすまして電子メールを送り、偽の銀行口座に多額の現金を振り込ませる「ビジネスメール詐欺」という新たなサイバー犯罪の詳細な手口が2日までに、独立行政法人・情報処理推進機構(IPA)の調査で分かった。サイバー空間を舞台にした企業版「振り込め詐欺」といえる犯罪で、世界的に被害が拡大している。日本も標的にされ始めておりIPAは注意を呼び掛けている。

 米連邦捜査局(FBI)によると、2013年10月~16年6月に世界で2万2千件以上、約31億ドル(約3450億円)の被害があり、平均の被害額は日本円で約1600万円にも上った。

 日本でどの程度の被害が出ているのかは不明だが、IPAは日本企業が関係する取引が狙われた事例4件を分析。メールの盗み見による周到な準備や、メールアドレスを1文字だけ追加して誤認させるなど巧妙な手法が明らかになった。

 事例は電力、ガスなど重要インフラを中心とする7業種(87組織)でつくる「サイバー情報共有イニシアティブ(J-CSIP)」の構成企業から提供を受けた。4件とも海外企業が絡む取引で、2件では実際にだまし取られていた。メールはすべて英語。企業名や被害額は明らかにしていない。IPAは調査結果の報告書を近く公表する。

 どの例もメールがハッキングされ、やりとりが盗み見されていた可能性が高い。国内企業と米国にある企業間の取引での例では、正規のやりとりが終盤になったときを見計らい、米企業の担当者になりすましたハッカーが「振込先の口座が変更になった」と偽口座への送金を要求していた。このときは国内企業側が気付いて被害を免れた。

 メールアドレスは、正規のアドレスのアルファベットをわずかに入れ替えたり削除したりして、気が付きにくいようにしていた。犯人が盗み見たとみられる正規の文面を多数引用したメールも確認された。【共同】

このエントリーをはてなブックマークに追加