ビジネスメール詐欺(BEC)とは、仕組みや効果的な対策について徹底解説

ビジネスの世界ではまだまだ主役の電子メール。グループウェアやSNSの普及した現代でも、クライアントや企業内の社員とのコミュニケーションツールとして広く使われています。

そんな電子メールを悪用した攻撃として注目を集めているのが「ビジネスメール詐欺」です。経営幹部や取引先になりすまして発信されたメールに騙されて、金銭や機密情報を盗みとられる事例が絶えません。

今回はビジネスメール詐欺について、その仕組みと対策方法について紹介します。

ビジネスメール詐欺とは

ビジネスメール詐欺とは、業務用メールを盗み見して経営幹部や取引先になりすまし、従業員をだまして送金取引などに係る資金を詐取するなどの金銭的な被害をもたらすサイバー攻撃です。実際に詐欺行為に及ぶ前に、企業内の従業員などの情報を窃取したりするために、マルウェアが使われることもあります。

IPAによるとビジネスメール詐欺とは以下のように定義されています。

ソーシャルエンジニアリング17の手法を応用したメールなどを組織・企業に送り付け、従業員を騙して送金取引に係る資金を詐取するといった、直接的に金銭を狙うサイバー攻撃

ビジネスメール詐欺「BEC」に関する事例と注意喚起/IPAより引用

英語では「Business E-mail Compromise(BEC)」とも呼ばれており、国内だけでなく海外でも大きな被害をもたらしています。

ビジネスメール詐欺の仕組み

ビジネスメール詐欺の手口はさまざまですが、共通点として攻撃者が送信するメールの信憑性を高めるために、業務用のメールを盗み見したり、ネット上で公開されている企業情報などを頼りにして、標的となる企業で進められているプロジェクトや人間関係を把握したりすることがあります。

1. 事前に標的に関する情報を盗んでおく

業務用メールの盗み見にはフィッシング詐欺を使う手口とキーロガーを使う手口が代表的です。

フィッシング詐欺の場合

フィッシング詐欺を行う手口として、攻撃者はシステムの担当者になりすまして、偽のログインページを用意して従業員にアカウント情報を入力させます。そして正規の従業員の認証情報を盗みます。

キーロガーの場合

キーロガーとはパソコンのキーボード入力の記録を保存する不正なプログラムです。記録されたキーボード入力のデータは外部に送信され、データを解析することで業務用メールのアカウント情報などを割り出します。

2. 信ぴょう性の高いメールで標的を騙す

上記の方法で業務用メールを盗み見した攻撃者は、なりすましのメールを作成しターゲットの企業の従業員を巧みな方法でだまします。最近のビジネスメール詐欺では、「経営幹部になりすます方法」と「取引先になりすます方法」の2つのタイプに分類されます。

経営幹部になりすます

最高経営責任者(CEO)や経営幹部になりすまして送金の指示メールを経理担当者などに送信するタイプです。攻撃者が予め準備した口座へ送金させる手口が確認されています。

このようにCEOになりすますタイプは「CEO詐欺」とも呼ばれており、「緊急」や「極秘」といった文言を使って機密要件であることを伝え、早急かつ極秘に送金するように圧力をかけてくることがあります。

取引先になりすます

企業の取引先を装って偽の請求書を添付したり、振込先の変更を依頼するメールを標的の企業の従業員に送りつけたりして、攻撃者が管理している口座に送金させる手口です。

攻撃者はターゲットの企業と取引先とのメールのやり取りを確認して、取引が進行しているのを確認した上で、振込が発生するタイミングでなりすましメールを送信してきます。正規のメールであるかのように、署名以下の部分にこれまでのやり取りのメールを貼り付けるなどの細工を施すこともあります。

ビジネスメール詐欺の被害事例

ビジネスメール詐欺の被害は国内でも数多く報告されています。日本航空(JAL)と農業関連会社からの不正送金の例を紹介します。

1. 日本航空(JAL)が3.8億円の詐欺被害

2017年12月20日、JALが偽の請求書メールに騙されて約3億8,000万円の詐欺被害に遭ったと発表しました。

犯人はJALと取引先のメールとの間のビジネスメールのやり取りに割り込んで、取引先になりすまして、犯人の口座に振り込ませました。2017年9月には旅客機のリース料について、海外の金融会社になりすました犯人が、偽の請求書をJALに送信しました。偽の請求書には「振込先の口座が香港の銀行に変更された」と記載されており、JALの担当者は約3億6,000万円を指定された口座に振り込みました。

また、8月には貨物の業務委託料について米国にある貨物事業所に支払先口座の変更を伝えるメールが送信されました。JALの担当者は変更された香港の銀行口座に約2,400万円振り込んでしまいました。

2. スカイマークへの詐欺未遂

2016年6月、スカイマークへ取引先の担当者を名乗る人物から約40万円の請求書が届きました。その内容は支払先を香港の銀行口座へと変更するというものでした。スカイマークの担当者は騙されて振り込もうとしたのですが、口座が凍結されており被害を免れました。その後、担当者が取引先へ確認したところ、偽のメールだった事が明らかになりました。

ビジネスメール詐欺への対策

ビジネスメール詐欺では、正規の利用者からのメールであることを偽装して、やり取りに割り込む形で不正メールを送信する手口が使われます。企業や組織、地域、そして業種を問わない脅威です。

ターゲットになった企業の従業員をいかに騙すかが、ビジネスメール詐欺の成功の鍵となっています。そのため、従業員一人ひとりがビジネスメール詐欺の手口を知り、勤務先の企業や取引先を危険にさらさないように、日常レベルで心掛けることが必要です。

1. ソフトウェアは最新の状態に

業務で使用しているパソコンのOSやセキュリティソフトのパターンファイルなどを常に最新のものにしておくことが重要です。さきほど紹介したように、ビジネスメール詐欺では従業員のメールのアカウント情報を知るために、マルウェアやキーロガーが使われることがあります。特にセキュリティソフトを最新のものにしておけば、既知のマルウェアの感染を未然に防ぐことが可能です。

2. アンチウィルスソフトを有効化する

業務で使っているパソコンではアンチウィルスソフトが導入されていることがほとんどですが、パソコンの動作が重くなるなどの理由で機能を停止させていないでしょうか?

ビジネスメール詐欺に関わらず、業務で取り扱っているデータの中には、悪意のある第三者から送信されたファイルも含まれているかもしれません。パソコンがマルウェアに感染することを防ぐためにも、アンチウィルスソフトは必ず有効化しておきましょう。

またアンチウィルスソフトを有効化したうえで、不審なメールの添付ファイルは開かないといった基本的な対策は継続して行う必要があります。

3. ID・パスワードを強力なものに

メールアカウントや業務で関連するクラウドサービスのIDやパスワードは厳重に管理しましょう。特にパスワードは複数の文字種を組み合わせた文字列を使う事が推奨されます。単純なパスワードは総当たり攻撃によりパスワードが割り出されたり、リスト型攻撃の標的とされたりすることがあります。推測されにくい文字列を設定し、同じパスワードは別のサービスでは使わないように適切に管理することが重要です。

4. 知らない人からのメールやチャットに注意する

ビジネスメール詐欺では、すでにやり取りのある取引先や経営幹部になりすましてメールが送信されることが一般的です。特に受信したメールの本文中に、入金を指示するメールや、振込先口座の変更依頼などの内容が記載されている時は要注意です。

「いつもと何か違う」と感じたら、まず受信したメールの送信元アドレスをチェックしましょう。ビジネスメール詐欺では、正規のメールアドレスの一部分だけ異なるメールから送信されることがあります。例えば「o(オー)」を「0(ゼロ)」に変えてあったり、「w(ダブリュー)」が「vv(ブイブイ)」になっていたりです。

もし違和感を覚えたら、メールではなく相手に電話をかけて確認したり、直接本人に会って確認したりすることが必要です。

5. 何か起きた時は早めに報告する

もし不正なメールを受信したり、メールの内容に従って送金したりしてしまったら、上司や情報システム部門など適切な部門へ報告できる体制を整えておくことが重要です。

また不審だと感じたら、勤務先の企業内だけでなく、取引先などの外部の企業とも情報共有することも重要です。情報共有の体制を整えておくことで、他の担当者へ送信された攻撃メールに気づくきっかけにもなり、自社に対して悪意のある行為が存在することを認識でき、スムーズに対策が取れます。

まとめ

ビジネスメール詐欺はソーシャルエンジニアリングの手法が使われており、いつ自社の従業員がターゲットになるのかわからない怖さがあります。しかし悪意のあるメールの目的ははっきりしています。それは不正な口座への送金を促しているという点です。

ビジネスメール詐欺の被害を未然に防ぐためには、送金を指示するメールを受信したら、まずメール以外に電話などで確認を取るとよいでしょう。またメールの本文に普段とは違う表現や言葉遣いがあるか確認し、不審なメールの情報を自社や取引先の企業とも共有することが重要です。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?