PR

似たドメインを直前に取得

 ビジネスメール詐欺のもう一つのポイントは、メールアドレスのドメイン名の詐称である。今回の事例では、攻撃者が海外取引先企業のドメイン名に酷似した詐称用のドメインを取得して、メールの送信元に使用したという。具体的には、正規のドメイン名のトップレベルドメインを1文字だけ変えたドメイン名を使った(表1)。

表1 ビジネスメール詐欺で使われる紛らわしいアドレスの例
表1 ビジネスメール詐欺で使われる紛らわしいアドレスの例
J-CSIPや情報処理推進機構(IPA)の情報を参考に編集部で作成。あくまでもサンプルで、実際に使われたドメイン名(メールアドレス)とは異なる。
[画像のクリックで拡大表示]

 紛らわしいドメイン名は正規の手続きで攻撃者が取得したものなので、このドメインのアドレス宛てのメールを攻撃者は受け取れる。

 攻撃者は、偽メールを送信する前日に、紛らわしいドメイン名を取得していた。詐欺に気付かれないようにするためだろう。

 企業や組織の中には、自社ドメインの悪用を防ぐために、紛らわしいドメイン名が取得されていないかを定期的にチェックしているところがある。チェックを代行するサービスもある。そういった対策を回避するために、攻撃者は偽メールの送信直前に取得する可能性が高い。

 もはや、国内でもビジネスメール詐欺は対岸の火事ではない。自社にも詐欺メールが送られてくることを前提に、社員全員に改めて注意を呼びかける必要がある。

ウイルスメールも巧妙に

 巧妙になっているのは詐欺目的のメールだけではない。不特定多数の企業・組織にばらまいているウイルスメール(ばらまき型メール)も、対策をかいくぐるようになっている。

 その手口の一つが、ウイルスファイルをメールに添付しないこと。その代わり、メールの本文中にウイルス配布サイトのリンク(URL)を記載する。ユーザーがリンクをクリックすると、ウイルスがダウンロードされてしまう。添付ファイルをチェックするセキュリティ製品を回避するためだと考えられる。

 ウイルスメールの送信先も工夫している。ある組織には、実在するメールアドレスだけではなく、存在しないメールアドレスにも長期にわたってウイルスメールが大量に送られてきていた。ところが2017年12月に調べたところ、実在するメールアドレスにしかウイルスメールが送られてこないようになっていたことがわかった。

 これは、攻撃者がメールの送信エラーなどを分析し、メールのばらまき先のリストを、実在するメールアドレスのみにクリーニングした可能性を示唆している。実在するメールアドレスのみに送ることで、攻撃の成功率を高めているのだ。