BECは日本航空の事例以降大きなニュースとしては報じられていないため、「そういえば、最近聞かなくなったな」と思われるかもしれません。しかし、BECの攻撃は、現在でも続いています。2019年7月に情報処理推進機構(IPA)から発表されたレポートで、非常に巧妙な手口が報告されていました。2019年2月に発生した「新規の海外取引先企業を詐称する攻撃」です。
これまではBECといえば「請求書の振込先を変更させる」のが常とう手段と思われていました。しかしこの事例では、価格修正を装って「正しい見積書を送る」と称し、攻撃者の振込先口座が書かれた偽の見積書を送付、詐欺メールにはご丁寧に、「先に送った見積書は破棄してください」という指示がありました。振り込みを実行する担当者が、正式な見積書と比較できないように細工されていたのです。
IPAの報告によれば、攻撃者はメール攻撃を実行する前に組織内部に侵入し、メールの内容や内部情報を盗んでいた可能性が高いようです。このような被害に遭わないためには、マルウェア対策や迷惑メール対策といった徹底とともに、銀行の担当者に確認する、おかしいと思った人が正しくエスカレーションできる報告ルートを整備するといった、ITの仕組み以外でのセキュリティ対策も実施しておく必要があるでしょう。