河内・水簾洞

ビジネスメール詐欺

編集者

1.全体の流れ

全体の流れ

 攻撃者がB社製品担当者のメールアカウントに不正アクセスをして、
   A社B社間の取引に係るメールのやりとりを盗み見たことから始まる

 攻撃者は、盗み見た情報等を基にB社製品担当者のメールアカウントから
   A社担当者に偽の送金先口座変更依頼を送り付け、
   複数回のやりとりを経てA社から金銭を詐取する

 さらに支払い予定日後にB社会計担当者から問い合わせメールが送付された際、
   攻撃者は詐称用ドメインを使いB社会計担当者になりすまし、
   偽メールをA社担当者に送付している

2.ブロック1:正規やりとりへの介入 

ブロック1

 メールのやりとりは、主にA社担当者とB社会計担当者との間で行われており、
   メールの同報先(CC)にはB社製品担当者を含む関係者が設定されていた

 支払いの予定日まで約3週間と迫った頃
   攻撃者がA社担当者宛てに、
     B社製品担当者を送信元とした1通のメールを送信する
     「支払い予定日を確認させて欲しい」との内容

     本取引に係る担当者間のメールのやりとりの返信であり、
     CCに設定されたA社関係者のメールアドレスは正規のもの
     B社関係者のメールアドレスは1文字違いの詐称用ドメインであった

     各メールアドレスに紐づけられた表示名は、
       全て正規のメールと同様に各担当者の氏名が設定されていた

詳細1

 例題(詳細1)の内容
   使用された詐称用ドメインと正規ドメインの差分イメージ
     1文字だけ似たような文字で置き換えている
   着信したメールの内容
     送信元のアドレスは正規のアドレス
     送信元の同僚(CC)のアドレスは詐称用アドレス
       送信元の関係者には一切メールは退いていない
     受信者側は全員正規のアドレス

 メールを受信したA社担当者は違和感に気付くこと
   支払い予定日を回答するメールを返信した

3.ブロック2:初回の口座変更依頼

ブロック2

 約10日後、再度攻撃者からA社担当者に偽のメールが届く
   初回のメールと同様にB社関係者のメールアドレスは詐称用ドメインのもの

 「会計監査上の理由により、送金先の銀行口座をD銀行に変更してほしい。」と
   変更先の銀行口座の情報が記載されたPDFファイルが添付されていた

 メールを受け取ったA社担当者は、
   変更先のD銀行の所在地がB社の所在地と異なる
   署名がB社責任者のものでない ので質問するメールを返信する

 攻撃者から以下のような回答が届く
   他の都市の名前である
   最高財務責任者のものである

 A社担当者は送金先を攻撃者指定の口座に変更する手続きを進めた 

4.ブロック3:再度の口座変更依頼 

ブロック3

 4日後、再度の口座変更依頼メールが届く
   初回のメールで使用したものを編集して再作成したもの
   指定された口座は初回の依頼時と同じD銀行のもの

 再度の口座変更依頼を行った理由は不明
   攻撃者にとって何らかの不都合が生じたことが推測される

 この時点で既に初回で指示された口座への送金手続きが完了していた
   再変更先口座への送金手続きを行い
   B社製品担当者(攻撃者)にメール返信する

 2週間弱経過後、当初の支払い予定日から10日ほど遅れで送金処理が完了する 

5.ブロック4:送金後のやりとり 

ブロック4

 送金手続きの2日後、
   支払いが行われていないという問い合わせメールがB社より送付される
   正式な担当者間のメールだが、不正アクセスに成功していた攻撃者は
     そのメールの内容を盗み見ることが可能でした 

 攻撃者は即時、詐称用ドメインのメールアドレスを使って
   正規のB社が作成したように装ったメールをA社担当者に送信する
   メールの内容は、確認するために送金依頼文書のコピーを送付して欲しい
     詐欺の発覚に至ることを避ける狙いがあったものと推測される

詳細2

 例題(詳細2)の内容
   最初に上半分のメール
     B社懐慶担当者からA社担当者へ、正規メールアドレスでのやり取り
     これを盗み見した攻撃者は

   次に下半分のメール
     攻撃者は詐称用メールアドレスからA社担当者にメールを送信する
       メールの内容は送金依頼文書のコピーを送付して欲しい
     B社関係者のメールアドレスは全て詐称用アドレス
     ご丁寧に盗み見したメールからの返信を装う

 A社担当者は「先に届いた」攻撃者からのメールの方に返信する
   送金先変更により支払いが遅延したが、送金処理は手配済みである
   さらに要求された文書のコピーを添付し送付する

 ここでA社の担当者が今までのやり取りから
   詐称用メールアドレスに気づき、金銭の詐取が発覚する

6.補足

 問題点と対応策
   ・正規メールアカウントからの偽メール送信
     B社の正規のメールアカウントからA社にメールを送信している
       不審なメールがB社製品担当者の目に入らないよう
         メールボックスに不正な転送・削除ルール設定を行っていた
         メールの仕分けルールで攻撃者への返信メールを
           普段確認しないフォルダに移動させていた

   ・支払日直前での口座変更依頼
     残り時間が短い中で依頼をすることで
       対応を急がせ、正当かどうかの確認に時間を与えない

   ・詐欺発覚を遅らせるための偽メール送信
     同じ表示名だとメーラー上では同一人物と見えるため区別がつかない
       少しでも疑いの芽を摘むことを狙っている
     最新のメールに対して返信メールを作成することが多いことから
       受け取ったメールを重ねて送付することで疑いを無くす