目次
実在する企業や団体などになりすましたフィッシングメールを送信し、ログイン情報やクレジットカード情報などを盗み出すフィッシング詐欺の手口は年々巧妙化しています。
アメリカのセキュリティ製品の製造を手掛けるCheck Point Software Technologiesは、Dropboxを悪用したビジネスメール詐欺が確認されたとして、注意を呼び掛けています。
ビジネスメール詐欺とは、企業を狙ったフィッシング詐欺で、企業の重要な情報が盗み出されるだけでなく、不正に送金されるといった莫大な被害が発生する非常に悪質な詐欺の手口です。
Check Point Software Technologiesによりますと、最新のビジネスメール詐欺では、「実在する企業を騙ったメール」ではなく、「実在する企業から送信されるメール」によってフィッシング攻撃を受けるというのです。
そこでこの記事では、Dropboxを悪用したビジネスメール詐欺の手口や被害防止対策について解説します。
- ビジネスメール詐欺とは?
- Dropboxを悪用したビジネスメール詐欺の手口
- ビジネスメール詐欺の対策
企業を狙うビジネスメール詐欺とは
ビジネスメール詐欺とは、企業を狙ったフィッシング詐欺で、企業の重要な情報が盗み出されるだけでなく、不正に送金されるといった莫大な被害が発生する非常に悪質な詐欺の手口です。
Checkpoint Software Technologies傘下のAvananの報告によりますと、2023年9月上旬だけで、Dropboxを騙ったビジネスメール詐欺によるフィッシング攻撃が5,440件発生しており、被害が急増していることが分かりました。
過去のビジネスメール詐欺では、会社のCEOや役員、上司などになりすまし、部下にメールで電子ギフトカードを購入するよう依頼する「ギフトカード詐欺」が横行していました。
次のビジネスメール詐欺では、会社の役員や従業員、その関係企業のメールアカウントに侵入し、その人のメールアドレスからフィッシングメールを送信する手口が確認され、メールアドレスでなりすましを判別できない場合が多いため、被害が多く発生しました。
そして最新のビジネスメール詐欺では、実在する企業のアカウントからメールを送信し、フィッシング攻撃を行うという非常に巧妙な手口が用いられるようになりました。
また、最新のBEC攻撃は、実在する企業のアカウントからメールを送信するため、迷惑メールフィルターなどで防ぐことがほぼ不可能という特徴を持ちます。
最新のBEC攻撃によるフィッシング詐欺は、「企業を騙ったもの」ではなく、「企業そのもの」に侵入し、メールを送信して情報を盗み出すという手口に進化しているのです。
そこで次項では、Dropboxを悪用したビジネスメール詐欺の手口をご紹介します。
Dropboxを悪用したビジネスメール詐欺とは
では、Dropboxを悪用したビジネスメール詐欺とはいったいどのようなものなのでしょうか。
手口を詳しく見ていきましょう。
- Dropboxのアカウントを作成し、Dropboxからメールを送信する
- Dropboxのウェブサイトへ誘導する
- Dropboxのウェブページから認証情報を盗み出す
STEP1:Dropboxのアカウントを作成し、Dropboxからメールを送信する
フィッシング詐欺師はまず、Dropboxのアカウントを作成し、ターゲット企業の従業員や関係者のふりをして、Dropboxのアカウントからメールを送信します。
そして、Dropboxから「共有したコンテンツに対するコメントや返信を待っている」といった内容の通知を送ります。
またこの通知は、正規のDropboxから送られてくることから、迷惑メールフィルターで防ぐことができないため、非常に注意が必要です。
STEP2:DropboxのWebページへ誘導する
フィッシング詐欺師がDropboxから送信したメールのリンクをクリックすると、正規のDropboxのWebページに誘導されます。
また誘導されるページもDropboxの正規のWebページであるため、URLや日本語の不自然さでフィッシング詐欺であることを見抜くことはできない状態となっています。
STEP3:DropboxのWebページから認証情報を盗み出す
フィッシング詐欺師がDropboxから送信したメール内のリンクをクリックすると、正規のDropboxのWebページに遷移しますが、このページ内には、ターゲットの認証情報を盗むための外部ページにリダイレクトするためのリンクが埋め込まれています。
そのため、メール内のWebページに遷移してしまった時点で手遅れになってしまうということです。
また現時点では、Dropboxのみならず、GoogleやQuickbox、Paypalといったサービスの悪用が確認されています。
最新のBEC攻撃は、実在する企業のアカウントを柵瀬するだけで、簡単にフィッシング攻撃が仕掛けられる技術ができるようになってしまったのです。
Dropboxを悪用したビジネスメール詐欺の対策
Dropboxを悪用したフィッシング詐欺は、正規のDropboxからメールを送信し、正規のDropboxのウェブサイトに遷移するため、迷惑メールフィルターやセキュリティシステムを使用していても防ぐことが難しくなっています。
そのため、DropboxやGoogle、QuickboxやPaypalといったサービスからメールが来た際は、「送り主のことを知っているかどうか」ということを確認することが、簡単かつ一番大切な対策だといえるでしょう。
その他にも、このような対策が大切だとされています。
- 人工知能(AI)技術を用いて、多数のフィッシングインジケーターを分析、識別することで、複雑な攻撃を未然に防ぐ
- 文書やファイルのスキャン機能を利用する
- 徹底的なスキャンとWebページのエミュレーションを実行し、セキュリティを強化する堅牢(けんろう)なURL保護システムを用いる
Dropboxを悪用したビジネスメール詐欺には要注意!
Dropboxを悪用したフィッシング詐欺では、メール内のリンクからDropboxにアクセスしてしまっている時点でフィッシング詐欺の攻撃を受けているため、被害を回避することは非常に困難です。
しかし、企業を狙ったBEC攻撃の手口や事例を共有することで、被害に遭う可能性をグッと減らすことができるため、企業においては同様の事例に対処できるよう、周知することが望まれます。
今後のフィッシング詐欺は手口がどんどん巧妙化することが考えられるため、常に新しい手口を知り、被害を防ぐよう心がけましょう。
当サイトとしての願いは、フィッシング詐欺の被害に遭う方が一人でも多く減ることです。
この記事を通して、少しでも多くの方が詐欺被害を未然に防げることを願っております。
フィッシング詐欺の詳しい手口はこちらの記事でご紹介していますので、あわせてご参照ください。
ブログランキングに参加中です!
クリックで応援お願いします!
にほんブログ村
★当サイトに掲載されている情報の引用やリンクの掲載は、SNSをはじめ全ての媒体で自由に行っていただけます。★
詐欺被害の予防や被害者の支援のために、ぜひご活用いただけましたら幸いです。
