無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

ビジネスの世界ではまだまだ主役の電子メール。グループウェアやSNSの普及した現代でも、クライアントや企業内の社員とのコミュニケーションツールとして広く使われています。

そんな電子メールを悪用した攻撃として注目を集めているのが「ビジネスメール詐欺」です。経営幹部や取引先になりすまして発信されたメールに騙されて、金銭や機密情報を盗みとられる事例が絶えません。

今回はビジネスメール詐欺について、その仕組みと対策方法について紹介します。

ビジネスメール詐欺（BEC）とは

ビジネスメール詐欺とは、業務用メールを盗み見して経営幹部や取引先になりすまし、従業員をだまして送金取引などに係る資金を詐取するなどの金銭的な被害をもたらすサイバー攻撃です。実際に詐欺行為に及ぶ前に、企業内の従業員などの情報を窃取したりするために、マルウェアが使われることもあります。

IPAによるとビジネスメール詐欺とは以下のように定義されています。

ソーシャルエンジニアリング17の手法を応用したメールなどを組織・企業に送り付け、従業員を騙して送金取引に係る資金を詐取するといった、直接的に金銭を狙うサイバー攻撃

ビジネスメール詐欺「BEC」に関する事例と注意喚起/IPAより引用

英語では「Business E-mail Compromise（BEC）」とも呼ばれており、国内だけでなく海外でも大きな被害をもたらしています。

ビジネスメール詐欺（BEC）の仕組み・手口とは

ビジネスメール詐欺の手口はさまざまですが、共通点として攻撃者が送信するメールの信憑性を高めるために、業務用のメールを盗み見したり、ネット上で公開されている企業情報などを頼りにして、標的となる企業で進められているプロジェクトや人間関係を把握したりすることがあります。

1. 事前に標的に関する情報を盗んでおく

業務用メールの盗み見にはフィッシング詐欺を使う手口とキーロガーを使う手口が代表的です。

フィッシング詐欺の場合

フィッシング詐欺を行う手口として、攻撃者はシステムの担当者になりすまして、偽のログインページを用意して従業員にアカウント情報を入力させます。そして正規の従業員の認証情報を盗みます。

フィッシング詐欺(フィッシングメール詐欺)とは？手口や見分け方、相談先を紹介

2019.2.4

「フィッシング詐欺」という言葉を聞いた事がある人は多いでしょう。フィッシング詐欺とはインターネット上で発生する詐欺行為のことです。有名サイトとそっくりに作られたWebサイトが使われることが多いため、注意していてもフィッシング詐欺に騙されてし

キーロガーの場合

キーロガーとはパソコンのキーボード入力の記録を保存する不正なプログラムです。記録されたキーボード入力のデータは外部に送信され、データを解析することで業務用メールのアカウント情報などを割り出します。

キーロガーとは？仕組みや危険性、検出・駆除方法について徹底解説

2018.4.22

キーロガーとは、パソコンやキーボードの操作の内容を記録するためのソフトウェア等の総称で、悪意のあるものに個人情報などを盗み取られるなどの悪用されることがあるものです。 キーロガーは、USBなどのハードウェア型のものもあるようなので、情

2. 信ぴょう性の高いメールで標的を騙す

上記の方法で業務用メールを盗み見した攻撃者は、なりすましのメールを作成しターゲットの企業の従業員を巧みな方法でだまします。最近のビジネスメール詐欺では、「経営幹部になりすます方法」と「取引先になりすます方法」の2つのタイプに分類されます。

経営幹部になりすます

最高経営責任者（CEO）や経営幹部になりすまして送金の指示メールを経理担当者などに送信するタイプです。攻撃者が予め準備した口座へ送金させる手口が確認されています。

このようにCEOになりすますタイプは「CEO詐欺」とも呼ばれており、「緊急」や「極秘」といった文言を使って機密要件であることを伝え、早急かつ極秘に送金するように圧力をかけてくることがあります。

取引先になりすます

企業の取引先を装って偽の請求書を添付したり、振込先の変更を依頼するメールを標的の企業の従業員に送りつけたりして、攻撃者が管理している口座に送金させる手口です。

攻撃者はターゲットの企業と取引先とのメールのやり取りを確認して、取引が進行しているのを確認した上で、振込が発生するタイミングでなりすましメールを送信してきます。正規のメールであるかのように、署名以下の部分にこれまでのやり取りのメールを貼り付けるなどの細工を施すこともあります。

ビジネスメール詐欺（BEC）と標的型攻撃の違い

ビジネスメール詐欺の手口を見て、「標的型攻撃と同じじゃないの？」と疑問に思った人もいるのではないでしょうか。似ている攻撃ではあるものの、ビジネスメール詐欺と標的型攻撃は目的が異なります。

ビジネスメール詐欺の主な目的は金銭搾取であるのに対し、標的型攻撃の目的は情報の窃取です。標的型攻撃の主な手口の1つが、標的型攻撃メールの送信です。特定の企業・団体に偽装メールを送信し、マルウェアを仕込んだ添付ファイルを実行させて情報を盗みます。

さらに、偽装メールが送られてくるタイミングも異なります。ビジネスメール詐欺は正規メールのやり取りに割り込み、取引先などの関係者からの自然な返信を装うのが特徴です。一方の標的型攻撃も関係者を装うものの、多くの場合は突然偽装メールが送られてきます。そのため、騙されるリスクが高いのはビジネスメール詐欺と言えるでしょう。

IPAによる位置付け

IPA（情報処理推進機構）は、社会的に影響の大きい情報セキュリティ脅威を毎年調査・報告しています。最新の「情報セキュリティ10大脅威 2022」では、標的型攻撃は2位、ビジネスメール詐欺は8位に位置付けられました。どちらも数年間連続してランクインしており、企業が警戒すべき状況は続いています。

また、2020年にIPAはビジネスメール詐欺に関する注意喚起（※1）を発表しています。これまでは国内企業の海外支社が狙われていましたが、2020年には国内企業へ日本語の偽装メールを送る事例も増えているようです。

【2022年最新】ビジネスメール詐欺（BEC）の被害事例

ビジネスメール詐欺の被害は国内でも数多く報告されています。日本航空（JAL）と農業関連会社からの不正送金の例を紹介します。

日本航空（JAL）が3.8億円の詐欺被害

2017年12月20日、JALが偽の請求書メールに騙されて約3億8,000万円の詐欺被害に遭ったと発表しました。

犯人はJALと取引先のメールとの間のビジネスメールのやり取りに割り込んで、取引先になりすまして、犯人の口座に振り込ませました。2017年9月には旅客機のリース料について、海外の金融会社になりすました犯人が、偽の請求書をJALに送信しました。偽の請求書には「振込先の口座が香港の銀行に変更された」と記載されており、JALの担当者は約3億6,000万円を指定された口座に振り込みました。

また、8月には貨物の業務委託料について米国にある貨物事業所に支払先口座の変更を伝えるメールが送信されました。JALの担当者は変更された香港の銀行口座に約2,400万円振り込んでしまいました。

スカイマークへの詐欺未遂

2016年6月、スカイマークへ取引先の担当者を名乗る人物から約40万円の請求書が届きました。その内容は支払先を香港の銀行口座へと変更するというものでした。スカイマークの担当者は騙されて振り込もうとしたのですが、口座が凍結されており被害を免れました。その後、担当者が取引先へ確認したところ、偽のメールだった事が明らかになりました。

トヨタ紡織ヨーロッパ 約40億円の詐欺被害

日本企業であるトヨタ紡織の欧州子会社「トヨタ紡織ヨーロッパ 」は、2019年9月に約40億円の資金を流出させています。ビジネスメール詐欺によるもので、同年8月に攻撃者による虚偽の指示に騙され被害に遭いました。詐欺被害の影響が一因となり、トヨタ紡織の2019年4-12月決算は営業益が12.7％も減少しています。

日本経済新聞・米子会社 約32億円の詐欺被害

2019年9月、日本経済新聞社のアメリカの子会社がビジネスメール詐欺被害に遭いました。経営幹部を装った攻撃者の指示に会社員が従ってしまい、約32億円もの会社資金が香港へ流出しています。同社は香港当局に被害届を提出し「流出資金の回収に努める」と発表しましたが、その後の進展は明らかにしていません。

米・実業家 40万ドルの詐欺被害

アメリカの実業家Barbara Corcoran氏は、2020年2月にビジネスメール詐欺によって約40万ドルの詐欺被害に遭っています。攻撃者は同氏のアシスタントのメールアドレスを装い、オフィスに虚偽の送金指示メールを送りました。偽装メールは本物のメールアドレスと一文字違いであったため、騙されてしまったようです。

ビジネスメール詐欺（BEC）への対策

ビジネスメール詐欺では、正規の利用者からのメールであることを偽装して、やり取りに割り込む形で不正メールを送信する手口が使われます。企業や組織、地域、そして業種を問わない脅威です。

ターゲットになった企業の従業員をいかに騙すかが、ビジネスメール詐欺の成功の鍵となっています。そのため、従業員一人ひとりがビジネスメール詐欺の手口を知り、勤務先の企業や取引先を危険にさらさないように、日常レベルで心掛けることが必要です。

1. ソフトウェアは最新の状態に

業務で使用しているパソコンのOSやセキュリティソフトのパターンファイルなどを常に最新のものにしておくことが重要です。さきほど紹介したように、ビジネスメール詐欺では従業員のメールのアカウント情報を知るために、マルウェアやキーロガーが使われることがあります。特にセキュリティソフトを最新のものにしておけば、既知のマルウェアの感染を未然に防ぐことが可能です。

2. アンチウィルスソフトを有効化する

業務で使っているパソコンではアンチウィルスソフトが導入されていることがほとんどですが、パソコンの動作が重くなるなどの理由で機能を停止させていないでしょうか？

ビジネスメール詐欺に関わらず、業務で取り扱っているデータの中には、悪意のある第三者から送信されたファイルも含まれているかもしれません。パソコンがマルウェアに感染することを防ぐためにも、アンチウィルスソフトは必ず有効化しておきましょう。

またアンチウィルスソフトを有効化したうえで、不審なメールの添付ファイルは開かないといった基本的な対策は継続して行う必要があります。

3. ID・パスワードを強力なものに

メールアカウントや業務で関連するクラウドサービスのIDやパスワードは厳重に管理しましょう。特にパスワードは複数の文字種を組み合わせた文字列を使う事が推奨されます。単純なパスワードは総当たり攻撃によりパスワードが割り出されたり、リスト型攻撃の標的とされたりすることがあります。推測されにくい文字列を設定し、同じパスワードは別のサービスでは使わないように適切に管理することが重要です。

4. 知らない人からのメールやチャットに注意する

ビジネスメール詐欺では、すでにやり取りのある取引先や経営幹部になりすましてメールが送信されることが一般的です。特に受信したメールの本文中に、入金を指示するメールや、振込先口座の変更依頼などの内容が記載されている時は要注意です。

「いつもと何か違う」と感じたら、まず受信したメールの送信元アドレスをチェックしましょう。ビジネスメール詐欺では、正規のメールアドレスの一部分だけ異なるメールから送信されることがあります。例えば「o（オー）」を「0（ゼロ）」に変えてあったり、「w（ダブリュー）」が「vv（ブイブイ）」になっていたりです。

もし違和感を覚えたら、メールではなく相手に電話をかけて確認したり、直接本人に会って確認したりすることが必要です。

5. 何か起きた時は早めに報告する

もし不正なメールを受信したり、メールの内容に従って送金したりしてしまったら、上司や情報システム部門など適切な部門へ報告できる体制を整えておくことが重要です。

また不審だと感じたら、勤務先の企業内だけでなく、取引先などの外部の企業とも情報共有することも重要です。情報共有の体制を整えておくことで、他の担当者へ送信された攻撃メールに気づくきっかけにもなり、自社に対して悪意のある行為が存在することを認識でき、スムーズに対策が取れます。

まとめ

ビジネスメール詐欺はソーシャルエンジニアリングの手法が使われており、いつ自社の従業員がターゲットになるのかわからない怖さがあります。しかし悪意のあるメールの目的ははっきりしています。それは不正な口座への送金を促しているという点です。

ビジネスメール詐欺の被害を未然に防ぐためには、送金を指示するメールを受信したら、まずメール以外に電話などで確認を取るとよいでしょう。またメールの本文に普段とは違う表現や言葉遣いがあるか確認し、不審なメールの情報を自社や取引先の企業とも共有することが重要です。