ビジネスメール詐欺(BEC)とは?事例や見破る方法|サイバーセキュリティ.com

ビジネスメール詐欺(BEC)とは?事例や見破る方法



近年、企業を狙ったビジネスメール詐欺(BEC)が急増し、大きな脅威となっています。
ビジネスメール詐欺とは、企業間の取引を装ってメールを送信し、不正な送金を促す巧妙なサイバー犯罪です。
その手口は、経営者や取引先担当者になりすまして送金を指示したり、偽の請求書を送付したりと多岐に渡ります。
被害額は年々増加傾向にあり、企業に深刻な損失をもたらしています。
本記事では、ビジネスメール詐欺の実態と具体的な事例を解説し、企業が取るべき対策について詳しく考察します。ビジネスメールの脅威を正しく理解し、適切な対策を講じることが、今や企業の重要な責務となっているのです。

ビジネスメール詐欺(BEC)とは?

ビジネスメール詐欺(BEC:Business Email Compromise)は、企業間の取引を装ってメールを送信し、不正な送金を促すサイバー犯罪の一種です。近年、その被害が急増しており、企業にとって大きな脅威となっています。

ビジネスメール詐欺(BEC)の定義と概要

ビジネスメール詐欺は、企業の取引先や経営者になりすまし、メールを通じて不正な送金を指示する詐欺行為を指します。
犯罪者は、標的とする企業の情報を入手し、その企業の取引先や経営者を装ったメールアカウントを作成します。そして、経理担当者などに向けて、緊急の送金や口座変更を指示するメールを送信するのです。

ビジネスメール詐欺は、以下のような特徴を持っています。

  1. 企業間の取引を装ったメールを送信する
  2. 送信元アドレスが実在する企業や個人に似せている
  3. 緊急性や秘密性を強調し、送金を急かす
  4. メールの文面が正当な取引を装っている

ビジネスメール詐欺(BEC)の手口と特徴

ビジネスメール詐欺の手口は、大きく分けて以下の3つに分類されます。

手口 概要
CEO詐欺 経営者や上司になりすまし、緊急の送金を指示する
取引先詐欺 取引先担当者を装い、支払い口座の変更を通知する
法人口座詐欺 実在する企業名義の口座への送金を指示する

これらの手口に共通しているのは、正当な取引を装うことで、受信者の警戒心を解くことです。
犯罪者は、企業のWebサイトや社員のSNSから情報を収集し、巧妙にメールを作成します。また、経理担当者など送金権限を持つ人物を狙うことで、高額な被害を狙います。

ビジネスメール詐欺(BEC)の被害状況と影響

ビジネスメール詐欺による被害は、年々増加傾向にあります。米国連邦捜査局(FBI)のレポートによると、2016年から2021年の5年間で、全世界のビジネスメール詐欺による被害総額は約266億ドル(約3兆円)に上ります。
日本でも、2020年に発生したビジネスメール詐欺の被害額は約75億円に達しています。

ビジネスメール詐欺が企業に与える影響は、金銭的な損失だけではありません。取引先との信頼関係の悪化や、企業イメージの低下など、二次的な被害も大きな問題となります。また、情報漏えいによる個人情報の流出や、サイバー攻撃の足がかりとして悪用されるリスクもあります。

ビジネスメール詐欺は、巧妙化・複雑化する一方で、企業の対策は十分とは言えません。従業員の教育やセキュリティ対策の強化など、組織的な取り組みが求められています。ビジネスメールに潜む脅威を正しく理解し、適切な対策を講じることが、企業の責務と言えるでしょう。

ビジネスメール詐欺(BEC)の種類と事例

ビジネスメール詐欺(BEC)には、様々な種類や手口が存在します。ここでは、代表的な事例を3つ紹介します。

なりすまし型ビジネスメール詐欺の事例

なりすまし型のBECでは、犯罪者が企業の経営者や取引先担当者になりすまし、従業員に不正な送金を指示します。例えば、以下のような事例が挙げられます。

  • 経理担当者に、社長を装ってメールを送信し、緊急の送金を要求する。
  • 取引先企業の担当者になりすまし、支払い先の口座変更を通知する。
  • 海外の支社や子会社の経理担当者を装い、本社に送金を指示する。

なりすまし型のBECは、正当な取引を装うことで、従業員の警戒心を解くのが特徴です。
犯罪者は、企業のWebサイトやSNSから情報を収集し、巧妙にメールを作成します。

請求書偽装型ビジネスメール詐欺の事例

請求書偽装型のBECでは、犯罪者が取引先からの請求書を装って、不正な送金を促します。例えば、以下のような事例が挙げられます。

  • 取引先の請求書を模した偽の請求書を送付し、指定の口座への送金を求める。
  • 取引先の担当者を装い、請求書の金額や支払い期日を変更するよう要求する。
  • 請求書に添付されたリンクをクリックさせ、マルウェアに感染させる。

請求書偽装型のBECは、取引先との通常のやり取りに紛れ込ませることで、不審に思われにくいのが特徴です。
請求書の金額や口座情報を細部まで偽装し、巧妙に送金を促します。

ウイルス添付型ビジネスメール詐欺の事例

ウイルス添付型のBECでは、メールに不正なファイルを添付し、開かせることでマルウェアに感染させます。例えば、以下のような事例が挙げられます。

  • 取引先との契約書を装った添付ファイルを開かせ、マルウェアに感染させる。
  • 送金手続きに必要な書類を装い、不正なファイルをダウンロードさせる。
  • ウイルスに感染させた上で、身代金を要求するランサムウェア型攻撃を仕掛ける。

ウイルス添付型のBECは、メールの本文だけでなく、添付ファイルにも細工を施すのが特徴です。
一見、正当な文書に見えるファイルを開かせることで、気づかないうちにマルウェアに感染させます。

ビジネスメール詐欺は、手口が巧妙化・多様化しており、企業にとって大きな脅威となっています。次章では、これらのビジネスメール詐欺の具体的な事例を紹介しながら、その特徴や注意点を解説します。

ビジネスメール詐欺(BEC)の対策と予防法

ビジネスメール詐欺(BEC)による被害を防ぐには、組織全体での対策と予防が不可欠です。ここでは、セキュリティ教育の重要性や、メールセキュリティ対策ソフトの導入、社内ルールの整備など、企業が取るべき具体的な対策について解説します。

セキュリティ教育と注意喚起の重要性

ビジネスメール詐欺への対策で最も重要なのは、従業員に対するセキュリティ教育と注意喚起です。
ビジネスメールの脅威や、不審なメールの見分け方を、従業員全員が正しく理解することが大切です。

具体的には、以下のような教育や注意喚起を行うことが効果的です。

  • ビジネスメール詐欺の手口や特徴について、事例を交えて解説する。
  • 不審なメールの見分け方や、対処方法についてガイドラインを作成する。
  • 定期的な教育やテストを行い、従業員のセキュリティ意識を高める。
  • 実際にビジネスメール詐欺が発生した場合の報告・連絡体制を整備する。

セキュリティ教育は、一度だけでなく継続的に行うことが重要です。新しい手口や事例が現れた際には、適宜情報を更新し、従業員への注意喚起を行いましょう。

メールセキュリティ対策ソフトの導入と設定

ビジネスメール詐欺への技術的な対策として、メールセキュリティ対策ソフトの導入が有効です。
これらのソフトは、不審なメールを検知したり、添付ファイルのウイルスチェックを行ったりすることで、ビジネスメール詐欺のリスクを減らすことができます。

メールセキュリティ対策ソフトを導入する際は、以下の点に留意しましょう。

  • 自社のメール環境に適したソフトを選択する。
  • ソフトのルールや設定を、ビジネスメール詐欺の特徴に合わせて最適化する。
  • 定期的にソフトのアップデートを行い、最新の脅威に対応する。
  • ソフトで検知された不審なメールは、速やかに削除または隔離する。

メールセキュリティ対策ソフトは、セキュリティ教育と組み合わせることで、より高い効果を発揮します。技術的な対策と人的な対策を組み合わせ、多層的なセキュリティ対策を講じることが重要です。

社内ルールの整備とインシデント対応体制の構築

ビジネスメール詐欺への対策は、セキュリティ部門だけでなく、経理部門や営業部門など、組織全体で取り組むことが重要です。
そのためには、社内ルールの整備と、インシデント発生時の対応体制の構築が欠かせません。

具体的には、以下のような社内ルールやインシデント対応体制を整備しましょう。

項目 内容
送金ルールの厳格化 送金依頼があった場合の確認手順を定め、複数人による承認を必須とする。
取引先情報の管理徹底 取引先の連絡先や口座情報を常に最新の状態に保ち、変更があった場合は速やかに確認する。
インシデント対応体制の整備 ビジネスメール詐欺が発生した際の報告・連絡・対応手順を定め、速やかに対処できる体制を整える。
警察等への通報・相談 被害が発生した場合は、速やかに警察等の捜査機関に通報・相談し、適切な対応を取る。

社内ルールは、全従業員に周知徹底し、必要に応じて見直しを行うことが大切です。また、インシデント対応は、訓練を行うなど、実効性のある体制を整備することが求められます。

ビジネスメール詐欺は、巧妙化・複雑化する一方で、企業の対策は十分とは言えません。セキュリティ教育の徹底、メールセキュリティ対策ソフトの導入、社内ルールの整備など、組織を挙げての取り組みが必要不可欠です。ビジネスメールの脅威に立ち向かい、企業を守るためには、従業員一人ひとりのセキュリティ意識と、組織としてのセキュリティ対策が鍵となるのです。

ビジネスメール詐欺(BEC)の最新動向と今後の課題

ビジネスメール詐欺(BEC)の巧妙化と高度化

近年、ビジネスメール詐欺(BEC)の手口は一層巧妙化・高度化しています。犯罪者は、企業のWebサイトやSNSから入念に情報を収集し、より巧妙にメールを作成するようになっています。
例えば、経営者や取引先担当者の言葉遣いや署名などをコピーし、本物と見分けがつかないレベルのメールを送りつけてきます。

また、単発的な攻撃だけでなく、長期間にわたって標的企業に入り込み、社内の情報を収集してから攻撃を仕掛けるケースも増えています。

標的型攻撃の手法を取り入れたBECは、より高度で検知が困難になっています。

国際的な協力体制の必要性と法規制の動向

ビジネスメール詐欺は、国境を越えたサイバー犯罪であり、一国だけの対策では限界があります。

各国の捜査機関や関係団体が連携し、国際的な協力体制を構築することが重要です。
情報共有や合同捜査などを通じて、犯罪者の特定や逮捕、被害の回復を進める必要があります。

また、法規制の面でも、ビジネスメール詐欺への対策が進められています。米国では、2019年に「ビジネスメール詐欺対策法」が成立し、連邦捜査局(FBI)によるBEC対策が強化されました。日本でも、2021年に「サイバー犯罪対策法」が施行され、ビジネスメール詐欺を含むサイバー犯罪への対策が盛り込まれています。

企業のセキュリティ対策強化に向けた取り組み

ビジネスメール詐欺への対策は、企業にとって喫緊の課題です。

従業員教育の徹底、メールセキュリティ対策ソフトの導入、社内ルールの整備など、多角的な取り組みが求められます。
特に、経理部門や営業部門など、送金に関わる部署への教育と注意喚起が重要です。

また、ビジネスメール詐欺は、人的な要因が大きいだけに、セキュリティ意識の向上が欠かせません

一人ひとりが自分ごととしてセキュリティを捉え、日々の業務の中で実践していくことが大切です。
企業は、継続的な教育や啓発活動を通じて、従業員のセキュリティマインドを高めていく必要があります。

ビジネスメール詐欺は、今や企業経営における重大なリスクの一つです。その脅威は年々増大し、手口も高度化しています。企業は、国際的な協力体制と法規制の動向を踏まえつつ、組織を挙げてセキュリティ対策に取り組むことが求められます。ビジネスメールの脅威に立ち向かい、企業を守るためには、従業員一人ひとりのセキュリティ意識と、組織としてのセキュリティ対策が鍵となるのです。ビジネスメール詐欺は、企業にとって避けては通れない課題であり、今後も継続的な対策と備えが必要不可欠と言えるでしょう。

まとめ

ビジネスメール詐欺(BEC)は、企業間の取引を装ってメールを送信し、不正な送金を促す巧妙なサイバー犯罪です。
なりすまし型、請求書偽装型、ウイルス添付型など様々な手口があり、被害額は年々増加傾向にあります。企業はセキュリティ教育の徹底、メールセキュリティ対策ソフトの導入、社内ルールの整備など、多角的な対策が求められます。
ビジネスメール詐欺は巧妙化・高度化しており、国際的な協力体制と法規制の強化も進められています。
従業員一人ひとりのセキュリティ意識と、組織を挙げた取り組みが、ビジネスメールの脅威に立ち向かう鍵となるでしょう。


SNSでもご購読できます。