攻撃と脅威
請求書詐欺
別称: 振込先変更詐欺, サプライヤー詐欺
定義
偽造請求書や改ざんした正規請求書を送り付け、支払先を攻撃者の口座に変えさせる詐欺。
請求書詐欺は、ビジネスメール詐欺と経理統制が交差する領域です。攻撃者は取引先のメールアドレスを偽装したり、その実メールボックスを乗っ取ったり、類似ドメインを登録したりして、「振込先変更のお知らせ」や IBAN/SWIFT を書き換えた PDF 請求書を送付します。高度なケースでは既存のメールスレッドに割り込み(スレッドハイジャック)、経理担当者が本物の請求を待っているタイミングを狙います。対策は、振込先変更時に既知の番号への折り返し電話で確認すること、取引先マスタの厳格管理、支払い承認の二重統制、DMARC reject、外部・類似ドメインに対する警告バナーが基本です。
例
- 取引先に似たドメインが四半期支払いの直前に「銀行情報の更新」を経理に送信する。
- 乗っ取られた取引先メールボックスが既存の見積もりスレッドで攻撃者の IBAN を記した PDF を返信する。
関連用語
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
CEO 詐欺
BEC の一種で、攻撃者が経営幹部になりすまして従業員に未承認の送金や機密対応を迫る詐欺。
メールスプーフィング
メールヘッダを偽造して信頼できる差出人から送られたように見せかけ、フィッシング・詐欺・マルウェア配布などに用いる手法。
タイポスクワッティング
正規のドメイン名やパッケージ名のスペルミス・視覚的類似名を取得し、入力ミスや視認ミスをするユーザー・開発者を狙う手口。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。