CEO詐欺メール (経営者なりすまし) が流行していて被害も増えているとのこと

昨年末ぐらいから私の勤務先のメール宛にCEO詐欺メールがしょっちゅう届くようになりました。

経営者になりすまして従業員に金を振り込ませる「ビジネスメール詐欺」で1億円被害 岐阜・多治見市の会社 - ライブドアニュース
メ~テレ(名古屋テレビ) 経営者などになりすまして金をだまし取る「ビジネスメール詐欺」で、岐阜県の男性が1億円の被害にあいました。 警察によりますと14日、岐阜県多治見市の60代の男性が経
news.livedoor.com

ニュース記事にあるように、経営者からLINEのグループを作って招待しろというメールが送られてきます。

私はパッと見てフィッシングであるとすぐに気付きましたが、送信者は経営者の名前に偽装されていますし、文章も自然でうっかりしていると騙されそうになりそうです。

私の会社では組織内の連絡はLINE WORKSを使うというルールですので、メールが届いても違うと気付けるだろうから数多あるフィッシングメールの内の1つぐらいと軽く考えて放置していました。

ただ、「こんなメールが来たんだけど」と報告をもらったり、中には突然の経営者から業務指示が来たと驚いている人もいたという話を聞いたので注意喚起の連絡をしました。

そのタイミングでpiyokangoさんがブログにて取り上げられたので、今ホットな話題なんだなと思ってこのブログでも記録しておこうと思った次第です。

公開情報だけで経営者になりすますことができる

この手のメールに対してみんなが面食らうのは、所属している組織名とその経営者の実名が記載されているからだと思います。具体的な情報があると少なからず考えますからね。

ただ、組織名や経営者の実名は公開情報です。さらにメールアドレスのドメイン名がそのままコーポレートサイトのURLに使われていることも多く、そこから組織名と代表者をはじめとする経営者の実名は入手できます。他にもWhois情報からも取得できそうですね。

そして送信元の名前は誰でも簡単に偽装することができます。というよりも多くのメーラーで任意の名前を設定できる仕様になっています。

そういうわけで経営者の名前を騙ってメールが来るのは気持ち悪く感じますが、取り立てて珍しい事象ではないです。

メールアドレスは標的となるリストがある様子

私の会社で届いたメールアドレスは複数あるのですが、ユーザー名が組織の者か関係者でないと推測ができない固有名詞の組み合わせのメールアドレス宛に届いていました。

ユーザー名が短いフレーズの1単語など推測可能な場合、無作為に送りつけるという方法が可能ですが、推測ができない複雑なメールアドレス宛に届いていたとなると標的となるメールアドレスのリストが存在していると考えた方がよいでしょう。

メールアドレスがあればドメインから組織の情報に辿り着けるので、まずはメールアドレスありきで、それから経営者の実名を入手しているのだと思います。

Emotetが関連している可能性

ではどのルートでメールアドレスが収集されたのかですが、私の予想では数年前に猛威をふるったEmotetも一つの可能性として考えています。

私の会社内では感染していないと判断しているのですが、関係機関で感染していたようで私の会社の社員名を騙ったメールが出回ったことがありました。他の組織の社員名を騙ったメールもありました。

EmotetはOutlookなどのメールアプリのアドレス帳や受送信メールのデータを窃取し、そのデータを使ってメールを偽装して感染を拡大しました。その時に窃取されたメールアドレス情報が使われているとしたら納得です。

もしEmotetで窃取した情報だとすると、経営者だけでなく他の社員の情報を使うこともできますし、やり取りをしている外部組織の情報もあるでしょうから外部に攻撃が向くかもしれません。そうなるとめちゃくちゃ厄介です。

メールアドレスの偽装は困難

送信元の偽装はしていますが、メールアドレスはフリーアドレスで入手したものを使用しており、メールアドレスの偽装は困難です。

よく見たら違うドメイン名 (microsoft.comをrnicrosoft.comにするみたいな) を使っていたり、パスワードも盗まれていてアカウントが乗っ取られ済みというパターンはありますが、標的組織のメールアドレスを自由に使うのは簡単ではありません。ドメインのなりすましはSPFでの対策も普及してきています。

そういうわけで本人かどうかの確認はメールアドレスを確認することが今のところ最善でしょう。

届いたら無視でOK

メールが届いても無視でOKです。対応をすると騙して送金させる誘導が始まるようです。

私の憶測なので保証はできませんが、メールや添付ファイルを開いてもマルウェアが仕込まれている可能性は低いと考えています。このメールの目的はお金を騙し取ることですので、もしマルウェアが仕込まれていたらマルウェア対策ソフトが反応してしまい、その時点でこのメールが攻撃であるとバレてしまうからです。

これが昔ならマルウェア対策ソフトを入れていないPCも多数あったのでついでに感染させるということもできたかもしれませんが、最近はWindows Defenderが標準で稼働するようになったので、ソーシャルエンジニアリングでマルウェアは絡めないと考えています。

とは言え、100%言い切れるものではありませんので、不審なメールが来たら開かずに削除するのがベストです。

このCEO詐欺メール、まだ序の口のように感じます。

海外ではCEOの映像や音声からディープフェイクを生成してZoomなどで指示させるような手口もあるとのことですので、ここからさらに発展して被害が拡大していくのではないかと懸念しています。

スポンサーリンク

コメント

コメントする前にお読みください

迷惑コメント防止のために初回のコメント投稿は承認制のため、投稿が反映されるまで少し時間がかかります。もちろん荒らしは承認しません。

教えて君やクレクレ君に対しては回答しませんのでご了承ください。