BEOのスクリーンショット
まずは気さくに在籍確認から

サイバー犯罪者が被害者と信頼関係を築いたうえで電信送金を指示してくる新手のビジネスメール詐欺が登場している。セキュリティ企業のシマンテックがレポートをまとめた。

ビジネスメール詐欺は以前から存在しているのだが、過去 2 年の間に手法は大きく進化しているという。

手当たり次第に大量のメールを送信するこれまでのやり口と異なり、標的を絞り込み、しかも中小企業から大企業までの財務ワークフローを熟知した接触を試みてくる。

なんとサイバー犯罪者は標的である企業の最高経営責任者(CEO)などを名乗り、高額の送金を許可できる財務担当者になにげなく連絡するそう。

例えば1通目は「hi, are you in office today?(やあ、今はオフィスにいるかい?)」などと、くだけた親しげな文体を使い、やりとりを重ねて徐々に距離を詰めていく。相手が間違いなく要求に応じると確信できるまで、送金先の口座番号などの情報は明かさない。

だがいざ信頼関係を築くと、かなりの金額を要求する。例えば2万987.56ドル(約200万円相当)。しかも財務担当者が、1万ドル以上になると事前に書類が必要だと説明すると、細かい金額に分けるよううながすなど、実に柔軟に対応してくる。

つまり単刀直入に送金を求める方式から、複雑なソーシャルエンジニアリングの手法も取り込むようになりつつあるのだ。6月にはすでにビジネスメール詐欺の20%がまず相手の在席や業務の空きを確認するものになっていたが、10 月になるとこの割合はさらに60%まで増えている。

言語や商習慣の異なる日本ですぐに影響はないかもしれないが、油断大敵だ。