ビジネスメール詐欺|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ビジネスメール詐欺
             

ビジネスメール詐欺

ビジネスメール詐欺(Business Email Compromise, BEC)**とは、企業の従業員や経営者、取引先を装い、偽のメールを使って不正に金銭や機密情報を盗み取るサイバー詐欺です。特に、経理担当者や財務部門を狙い、振込先口座の変更依頼や請求書の送付といった手口で、企業から金銭を詐取する手法が代表的です。

BECは、企業間の取引に使われる電子メールを悪用し、巧妙な手口で従業員を騙すことで被害をもたらします。企業や役職者の信頼を逆手に取るため、メールの見た目や内容が非常に本物に似せられており、受信者が疑いなく指示に従ってしまうケースが多く発生しています。

ビジネスメール詐欺の手口と手法

ビジネスメール詐欺には、巧妙に仕組まれた手口が数多く存在します。主な手口は以下の通りです。

1. 偽の請求書送付

攻撃者は、企業の取引先やサプライヤーを装って偽の請求書を送り、従業員に送金を依頼します。この際、口座情報が詐欺師の管理するものに置き換えられており、受信者が送金を行うと詐取される形です。

2. 経営層や役職者になりすまし

CEOやCFOなどの役職者を装い、経理や財務担当者にメールで指示を出す手法です。「緊急の支払いが必要」「極秘案件」といった内容で緊急性を装うことで、受信者に対応を急がせて送金させようとします。

3. メールアカウントの乗っ取り

攻撃者が従業員や取引先のメールアカウントを不正に取得し、正規のメールアドレスから指示を出します。実在する取引先からのメールに見せかけることで受信者を騙し、偽の請求書送付や送金指示を行う手法です。

4. ドメインのなりすまし

企業の正規ドメインに似たドメイン名を使ってメールを送信する手法です。たとえば、メールアドレスが「@company.co」の場合、「@compаny.co」(iではなくaに似た文字を使用)などの似たドメインを使って送信し、受信者が違和感なくメールを開くように仕向けます。

5. サプライチェーンの脆弱性を悪用

サプライチェーンの企業がBEC攻撃を受けると、関連企業にも被害が波及します。たとえば、企業が取引先からのメール指示に従って送金すると、攻撃者がその取引先に偽装して、送金先を詐取してしまう可能性があります。

ビジネスメール詐欺の被害例

ビジネスメール詐欺の被害は、金銭の損失だけでなく、企業の信用失墜や機密情報の流出といった深刻な影響を及ぼします。

  • 金融業界での大規模被害:銀行の役員を装い、企業に多額の送金指示を送り、従業員が応じたことで多額の損害が発生したケース。
  • 製造業での送金指示詐欺:海外取引先を装ったメールに従い、振込先を変更して多額の支払いを行った結果、支払い先が攻撃者の口座だったケース。
  • 不動産取引におけるBEC:不動産取引の際に、売買契約に関連した振込先の指示が詐欺メールを介して送信され、顧客が数千万円を失った事例もあります。

ビジネスメール詐欺の対策方法

ビジネスメール詐欺への対策には、従業員教育と技術的な防御策の両方が重要です。以下は、具体的な対策方法です。

1. 多要素認証(MFA)の導入

メールアカウントへのアクセスには、多要素認証(MFA)を導入することで、パスワードの漏洩によるアカウント乗っ取りリスクを減らせます。MFAでは、パスワードに加え、SMSコードや認証アプリを使った認証が求められるため、セキュリティ強化につながります。

2. 従業員への教育と訓練

BECに関する教育を行い、受信メールの信憑性を確認する重要性を周知します。「不自然に急かす内容」「振込先変更の要請」などの兆候に気づくことで、詐欺被害を未然に防ぐ意識を高めます。

3. メールフィルタリングとスパム対策

高度なフィルタリング機能を備えたメールセキュリティソフトを導入することで、スパムやフィッシングメールを自動で除去できます。特に、類似ドメインからのメールや不審な添付ファイルを検出し、警告する機能は有効です。

4. 重要な取引は別の手段で確認

送金指示や口座変更依頼が届いた場合は、メールではなく、直接電話や別のチャネルを通じて本人確認を行う習慣を徹底します。特に高額取引の場合、二重チェックのプロセスを取り入れると効果的です。

5. DMARCの設定

DMARC(Domain-based Message Authentication, Reporting & Conformance)は、送信元ドメインの正当性を検証する仕組みです。企業がDMARCを設定することで、なりすましメールの防止効果が高まります。

6. アクセス制限の強化

システムやデータへのアクセスを権限で制限することで、重要情報へのアクセスを最小限に抑えます。重要なデータや財務システムには、アクセス制限を設け、担当者以外が不正に利用できないようにします。

ビジネスメール詐欺とその他のサイバー詐欺の比較

詐欺手法 概要 主な対策
ビジネスメール詐欺(BEC) 企業の役職者や取引先を装い、送金指示を出す詐欺 MFA、DMARC、従業員教育、フィルタリング
フィッシング詐欺 偽のメールやサイトでパスワードなどを盗み取る手法 メールフィルタリング、URL確認、教育
スピアフィッシング 特定の個人を狙ったフィッシング詐欺 メール確認、MFA、フィッシングメールの警告
エグゼクティブ詐欺 CEOや役員になりすまし、指示を出す詐欺 MFA、DMARC、本人確認の徹底、アクセス制限

ビジネスメール詐欺の被害を防ぐための企業文化

ビジネスメール詐欺への対策は、一時的な措置だけでなく、日常の業務フローや組織文化として組み込むことが効果的です。

  • 定期的なセキュリティ研修の実施:従業員の意識を常に高め、サイバー攻撃への警戒心を持たせることが重要です。
  • 危機対応プロセスの明確化:詐欺や不正を疑われるメールを受け取った際の報告手順や確認方法をマニュアル化し、周知徹底します。
  • コンプライアンス体制の強化:取引先の確認プロセスを厳格にし、契約や請求に関する手続きの透明性を高めることが求められます。

まとめ

**ビジネスメール詐欺(BEC)**は、企業の従業員や役職者、取引先を装ったメールで送金や情報提供を促し、企業から金銭や機密情報を不正に得る手法です。BECは、メールの見た目や文面が非常に巧妙であり、経理担当者や財務部門が狙われやすい点で、企業にとって深刻なリスクとなっています。

BECを防ぐには、従業員への教育や多要素認証の導入、DMARCの設定などの技術的な防御策が不可欠です。さらに、業務フローの中で取引の確認プロセスを徹底し、常に詐欺に対する警戒心を持つことが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。