令和元年秋期試験問題 午前問1

BEC(Business E-mail Compromise)に該当するものはどれか。

  • 巧妙なだましの手口を駆使し,取引先になりすまして偽の電子メールを送り,金銭をだまし取る。
  • 送信元を攻撃対象の組織のメールアドレスに詐称し,多数の実在しないメールアドレスに一度に大量の電子メールを送り,攻撃対象の組織のメールアドレスを故意にブラックリストに登録させて,利用を阻害する。
  • 第三者からの電子メールが中継できるように設定されたメールサーバを,スパムメールの中継に悪用する。
  • 誹謗中傷メールの送信元を攻撃対象の組織のメールアドレスに詐称し,組織の社会的な信用を大きく損なわせる。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
BEC(Business E-mail Compromise)は、ビジネスメール詐欺と訳され、巧妙なだましの手口を駆使して、偽の電子メールを組織・企業に送り付け、架空の送金取引などを通じて金銭をだまし取るサイバー攻撃です。ソーシャルエンジニアリング的に人の心理的な隙に付け込んだ攻撃であり、技術的対策で排除することが難しいので、攻撃の手口を担当者に周知させておくことが必要となります。
01.png
IC3やトレンドマイクロ社では、BECを5つの類型に分類しています。上図の事例は2に該当します。
  1. 取引のメールに割り込み、偽の請求書(振込先)を送る
  2. 経営者を騙り、偽の振り込み先に振り込ませる
  3. 乗っ取ったメールアカウントを悪用して詐欺を行う
  4. 社外の権威ある第三者(弁護士等)になりすまして詐欺を行う
  5. 攻撃の準備として社内情報を収集する
選択肢の事例はどれも偽の電子メールを送り付けることによって組織を攻撃するものですが、金銭的被害が生じている「ア」だけがBECの事例となります。

Pagetop