1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成

ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成

セキュリティニュース

投稿日時: 更新日時:

ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成

2025年3月5日Trend Micro™ Managed XDRは、企業間(B2B)取引を標的とした高度なビジネスメール詐欺(BEC:Business Email Compromise)攻撃を調査し、その詳細な手口と影響を発表しました。この事例は、単なる偽装メール送信にとどまらず、複数のビジネスパートナー間の信頼関係を巧みに悪用する高度な攻撃手法が確認されています。

ビジネスメール詐欺とは

取引先や自社の経理担当、役職者、金融機関の名前を語ってサイバー攻撃の口座へ金銭を振込をさせる手口です。

実際に日本企業でも被害事例があり、株式会社モダリスは子会社へ悪意ある第三者による取引先を装った詐欺被害が発生し、資金流出が確認されました。この事案により、最終的に90,000米ドル(約1,400万円)の損失が特別損失として計上されると発表しました。

ビジネスメール詐欺の詳細な流れ

Trend Microの調査チームが復元した攻撃の流れは、以下の2つのフェーズで進行しました。

なお攻撃者の口座へ入金させるまで、最初のメールから5日間かけて慎重に詐欺を仕掛けていました。

フェーズ1:攻撃者がメール会話に侵入

この詐欺の手口の特徴は脅威アクターが 3 つのビジネス パートナー間でのすべての電子メールのやり取りを把握していたように見えることです。

攻撃者はサードパーティの電子メール サーバーにアクセスし、進行中の取引を完全に把握しました。攻撃者は数日間にわたって電子メールの会話を操作し、会話の流れをそのままに、受信者を悪意を持って制御された電子メール アカウントに巧妙に置き換えました。

フェーズ1:攻撃者がメール会話に侵入

画像:Trend Micro

  1. パートナーAが、パートナーBに請求書を送信(正規のやり取り)

    • この時点では、すべてのやり取りは正常。

  2. 攻撃者が乗っ取ったメールサーバーを利用して詐欺メールを送信

    • パートナーBに対し、パートナーAを騙り「送金先銀行の変更」などの偽の指示を含むメールを送信。

  3. パートナーBのメールシステムが最初の攻撃メールを拒否(不審と判断)

    • 攻撃者は4.5時間後に再度メールを送信し、より巧妙な手法で会話に入り込む。
    • 乗っ取った正規のメールサーバーからメールが配信されているためセキュリティチェックをすり抜ける。

フェーズ2:攻撃者が完全に会話を乗っ取る

フェーズ2:攻撃者が完全に会話を乗っ取る

画像:Trend Micro

  1. パートナーBは、変更された振込先情報を受け入れ、送金を準備

    • 送金の確認を「パートナーA」に取るが、実際には攻撃者がなりすましている。

  2. パートナーAとパートナーBは、それぞれ攻撃者とメールをやり取り

    • お互いに正しい相手とやり取りしていると信じてしまう

  3. パートナーBは送金を実行し、資金が攻撃者の口座に送られる

なぜ3つのパートナーのメールを閲覧できたのか

このセキュリティインシデントでは、直接的に確認できませんでしたが一般的には以下の方法があります。

メールアカウントの乗っ取り(T1078 – Valid Accounts)

攻撃者は、少なくとも1社(Partner AまたはPartner B)のメールアカウントをハッキングし、そのアカウント経由で他のメール通信を監視していた可能性が高いです。

可能な手口

  • フィッシング攻撃:従業員が偽のログインページにパスワードを入力してしまい、攻撃者に認証情報が渡った。
  • パスワードリスト攻撃(クレデンシャルスタッフィング):流出したパスワードを使い、企業メールにログイン。
  • 内部脅威(インサイダー):攻撃者が内部関係者から情報を得た。

これにより、正規のアカウントを使って実際のメールのやり取りを監視し、不正な指示を挿入するタイミングを計っていた可能性が高いです。

メール転送ルールの悪用(T1114.003 – Email Forwarding Rule)

企業のメールシステムには、受信メールを特定のアドレスに自動転送するルールを設定できる機能があります。

攻撃者が最初に1つのアカウントを乗っ取った後、次のような方法で他のパートナーのメール内容を把握できた可能性があります。

  • 乗っ取ったアカウントにメール自動転送ルールを設定し、攻撃者の管理するメールに送信。
  • メールフィルタ設定を変更し、特定の送信者や件名のメールを攻撃者に自動的に転送。

この方法を使うと、ユーザーが気づかないうちに攻撃者がメールのやり取りを把握できるため、企業内での不正なメール監視が可能になります。

対策

攻撃者が3社間のメール通信を把握していた理由として、メールアカウントの乗っ取り、メール転送ルールの悪用、第三者メールサーバーのハッキング、企業間の信頼関係の悪用、事前リサーチの5つの可能性が考えられます。

特に、ビジネスメール詐欺では攻撃者がすべてのメールの流れを把握し、会話の流れを操作することで被害者を騙す手口が主流となっています。

全ての攻撃は防ぐことはできませんが以下のような対策を取ることが重要です。

  • メールの自動転送ルールを監視し、不審な転送設定をブロックする。
  • 多要素認証(MFA)を導入し、アカウントの乗っ取りを防ぐ。
  • 金融取引の検証プロセスを強化し、メール以外の手段で送金先を確認する。
  • メールセキュリティの設定(DMARC、SPF、DKIM)を強化し、不正な送信者をブロックする。

参照

From Event to Insight: Unpacking a B2B Business Email Compromise (BEC) Scenario

関連記事

トレンドマイクロのEDRソリューションTrend Micro Apex One徹底解説 最新のサイバーセキュリティ対策と導入ポイントトレンドマイクロのEDRソリューションTrend Micro Apex One徹底解説 最新のサイバーセキュリティ対策と導入ポイント Proofpointの設定を悪用され何百万通のフィッシングメールが送信されるProofpointの設定が悪用され何百万通のフィッシングメールが送信される 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導 Trend MicroのEDR「Apex One」は法人向けウイルスバスターの後継製品Trend MicroのEDR「Apex One」は法人向けウイルスバスターの後継製品 情報セキュリティ用語の「Compromise」や「Compromised」の意味とは情報セキュリティ用語の「Compromise」や「Compromised」の意味とは フィッシングメールとは 概要や手口を解説フィッシングメールとは 概要や手口を解説 EDR製品の導入検討中の方必見。選び方から導入要件まで解説 製品比較表付きEDR製品の導入検討中の方必見!選び方から導入要件まで解説 製品比較表付き 多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA多要素認証(MFA)を回避しMicrosoft 365へ不正アクセスするフィッシングサービス Rockstar 2FA 学研健康保険組合、宇都宮セントラルクリニックのサイバー攻撃で組合被保険者及び被扶養者の情報漏洩の可能性学研健康保険組合、宇都宮セントラルクリニックのサイバー攻撃 被害で組合被保険者の個人情報漏洩の可能性