Microsoftは5月6日(米国時間)、「Business email compromise campaign targets wide range of orgs with gift card scam - Microsoft Security」において、ビジネスメール詐欺(BEC: Business Email Compromise)の分析結果を公開した。具体的に、どのような手順でビジネスメール侵害が行われているのかがわかりやすく説明されており、参考になる。
ビジネスメール詐欺は、標的となる受信者が知っている人物から送られてきたかのようなメールを送り付けて、金銭を引き出す詐欺のこと。比較的大きな金額がやりとりされることが知られており、フィッシング詐欺の一種と分類されている。
Microsoftはビジネスメール詐欺の典型的なシナリオとして、次のようなケースを紹介している。
- テレワークをしている最中に、上司からメールを受信する
- 受信したメールには、新型コロナウイルス感染症の中で頑張ってくれているチームのメンバーに対してインセンティブとしてギフトカードを進呈することになったので、ギフトカードを購入するように、といった旨の内容が記載されている
- 不思議な依頼だと思いつつ、部署の予算を使ってギフトカードを購入し、上司にギフトカードのコードを返信した
- 上司から返事が来ないので、チャットでコードを受信したか確認する
- 上司からはギフトカードを購入するといった要求メールは送信されていないことが明らかになる
Microsoftは「これは典型的なビジネスメール詐欺のシナリオ」と説明している。
Microsoftが今回分析したビジネスメール詐欺キャンペーンでは、120以上の異なるタイポスクワッティングドメインが使われていたという(タイポスクワッティングドメインは、標的のドメインに似たドメインで、入力ミスなどで入力してしまいがちな名前のドメイン名のこと)。また、これらドメインはドメインプライバシーが有効になっておらず、欧州連合(EU: European Union)の一般データ保護規則(GDPR: General Data Protection Regulation)による保護も受けていなかったとされている。
メールの送信に使われているアドレスのドメイン名の確認は、こうした詐欺において送信メールの正当性を調べる上で有用な方法のひとつ。少しでも違和感を覚えた場合は、いったん作業を止め、送信されてきたメールが正当なメールであるかを確認するといった対応を取ることが望まれる。