独立行政法人情報処理推進機構(IPA)は4月13日、「ビジネスメール詐欺 事例集」に事例を追加したと発表した。新たに追加されたのは、「事例6:国内企業社長になりすまし、グループ企業役員に金銭の支払を要求した事例」。
IPAでは、ビジネスメール詐欺の事例集を公開している。同様被害の早期発見や、未然防止、啓発活動における事例紹介の一助として、セキュリティ上の取り組みの促進に役立てることを目的としている。
新たに追加された事例「国内企業社長になりすまし、グループ企業役員に金銭の支払を要求した事例」は、2022年8月に国内の企業(A社)の社長になりすました攻撃者から、東南アジアのグループ企業(B社)の役員に対して、M&A(企業の合併買収)について協力してほしいと称するメールが送られたもの。
B社役員が、M&Aについて対応する旨のメールを返信したところ、対応状況の確認のメールが送られてきた。そこでB社役員が「進め方について社内の誰に相談すればよいか」をメールで質問したところ、それに答えずに口座残高の確認メールが届いた。B社役員は疑念を持ちA社の社長に電話で確認したところ、詐欺が発覚した。
詐欺が発覚したため、その後にB社役員に届いた「指定口座へ金銭の支払いを要求するメール」には返信も振込もせず、詐欺は回避された。また、A社からIPAに対応内容の妥当性の確認や、アドバイスを依頼する相談があった。A社およびB社はなりすましメール対策として、送信ドメイン認証(SPF)の設定を変更したほか、DMARCの導入検討も開始した。
