ビジネスメール詐欺(BEC詐欺)とは

ビジネスメール詐欺(BEC詐欺)とは、CEO(最高経営責任者)やCFO(最高財務責任者)などの経営層になりすまし、社員に対して偽のメールを送る詐欺のこと。BECは「Business E-mail Compromise Scams:偽のビジネスメールによる交渉詐欺」の略。

経理、財務担当者などをだまし、攻撃者が用意した口座に不正に送金させるもので、より"大物"の社員を標的に仕掛けられるフィッシングという点から「ホエーリング」と呼ばれることもある。

BEC詐欺では、CEOやCFOのメールアカウントを乗っ取る、あるいは、実在のドメインにそっくりなドメインを取得し、偽のメールアドレスで実在する経営者をかたる手口が確認されていることから、攻撃者は、標的となる経営者の情報や担当者の情報を、事前に入念に調べ上げている可能性が指摘されている。

米国では2013年頃から急増しており、FBIによる統計として、2013年10月から2016年6月におけるBEC詐欺による被害額が約31億ドルにのぼったことが明らかになっている。

日本においては、トレンドマイクロ社が、2017年の脅威動向の予測の中でBEC詐欺に注意を呼びかけているほか、独立行政法人 情報処理推進機構(IPA)が、2017年4月に、サイバー情報共有イニシアティブ(J-CSIP)の参加企業からBEC詐欺に関する情報提供を受け、注意喚起を公開している。

IPAが偽口座への送金を促す「ビジネスメール詐欺」に注意喚起(セキュリティニュース)

セキュリティ用語辞典一覧ページへ

関連キーワード:

BEC

ビジネスメール詐欺

フィッシング

ホエーリング

不正送金

  • Windowsの「Microsoft OLE」にゼロディ脆弱性、悪用した攻撃も確認
  • カテゴリートップへ
  • IPAが「企業のCISOやCSIRTに関する実態調査2017」報告書を公開