現代はデジタル化の進展とともに不正アクセスやマルウェアといったサイバー攻撃も年々多様化かつ巧妙化していく傾向にあります。なかでも問題視されているのが「ビジネスメール詐欺(BEC詐欺)」と呼ばれる犯罪行為です。本記事ではビジネスメール詐欺の被害事例や具体的な対策などについて解説します。
ビジネスメール詐欺(BEC詐欺)とは?
ビジネスメール詐欺とは、自社の経営層や関連会社、取引先などを装ってEメールを送付し、金銭を詐取する詐欺行為です。「Business Email Compromise」の頭文字をとって「BEC詐欺」とも呼ばれます。端的にいえば個人ではなく法人をターゲットとする振り込め詐欺のような犯罪行為です。非常に手口が巧妙かつ被害が高額になるケースが多く、同様の事案が世界中で問題となっています。
ビジネスメール詐欺の典型的なパターン
ビジネスメール詐欺の代表的な手口として挙げられるのが経営層へのなりすましです。たとえば社内の権威ある役職者になりすまし、指定口座に対する金銭の振込を要求します。また、取引先を装った請求書の偽装も代表的な手口のひとつです。この経営層と取引先のなりすましが、ビジネスメール詐欺の典型的なパターンとなります。ゼロデイ脆弱性の悪用やランサムウェア攻撃といった高度な技術を弄しているわけではなく、手口そのものは非常に単純なEメールによる詐欺行為です。
Eメールアカウント侵害(EAC)との違い
Eメールアカウント侵害とは、Eメールシステムが悪意ある攻撃者によって不正に制御されるサイバー攻撃です。ビジネスメール詐欺とEメールアカウント侵害の違いは、Eメールシステム自体が侵害されているかどうかにあります。
ビジネスメール詐欺はディスプレイネームの詐称や類似ドメインの利用を通じて実行するなりすまし行為ですが、Eメールアカウント侵害は実在するEメールアカウントを侵害する攻撃です。そして侵害したアカウントを利用して立場や身分を偽装し、指定口座への送金を促したり、機密情報を窃取したりします。ビジネスメール詐欺とは違って正規のアカウントからEメールが届くため、迷惑メールフィルターをすり抜けるとともに、受信者はフィッシングメールと気付きにくいという特徴があります。
標的型攻撃との違い
標的型攻撃とは、個人や法人といった特定のターゲットを狙って実行されるサイバー攻撃です。取引先や顧客、経営層などを装い、クリックするとマルウェアに感染するURLやファイルを添付したEメールを送付するのが代表的な手口です。ビジネスメール詐欺はなりすましによる金銭の支払い指示といった詐欺行為を指しますが、標的型攻撃は特定の組織や個人に対して攻撃を仕掛ける広範なサイバー攻撃を意味します。
また、ビジネスメール詐欺は主に金銭の要求を目的とする詐欺行為ですが、標的型攻撃は情報の窃取を主要な目的とする、より高度なサイバー攻撃です。官公庁や大手企業がターゲットになりやすい傾向にあったものの、近年では中小企業や地方自治体への攻撃も増加しています。
IPAが紹介しているビジネスメール詐欺の事例
1.請求担当を装った攻撃者の事例
2015年12月と2016年1月に、ある企業に対して取引先の請求担当者になりすましたEメールが届いたというビジネスメール詐欺の事例があります。このケースでは攻撃者が何らかの方法で二社間の請求に関わるEメールのやり取りを盗聴(盗み見)したと推察されます。ただし、この事例では国内企業がEメールの不審な点に気付き、ビジネスメール詐欺であると看破したことで金銭的な被害は出ていません。
参照元:ビジネスメール詐欺「BEC」に関する事例と注意喚起(p.9)|独立行政法人情報処理推進機構(IPA)
2.毎月の支払方法を変更され偽口座に送金した事例
2021年2月、日本と米国の企業間取引において、請求側の企業から毎月の支払い方法を小切手から銀行振込に変更してほしいとの依頼がEメールで届きます。しかし、これは請求側の企業になりすました攻撃者による虚偽のEメールでした。支払側の企業はビジネスメール詐欺であると気付けず、請求側の企業から未入金の連絡があるまで3カ月もの間、偽の口座に送金するという被害が発生しています。
参照元:ビジネスメール詐欺(BEC)の詳細事例3(p.1)|独立行政法人情報処理推進機構(IPA)
3.社長になりすまして役員に金銭を要求した事例
2022年8月、ある企業の役員に対して、経営者になりすました攻撃者から「M&Aに協力してほしい」という旨のEメールが送付されます。役員がプロジェクトの進め方について質問をしたものの回答を得られず、不審に思ったため経営者に電話で確認したところ、ビジネスメール詐欺であると発覚しました。この事例では電話確認によって詐欺行為を看破できため、金銭的な被害は発生しませんでした。なお、Eメールでのやり取りはすべて日本語であったといいます。
参照元:ビジネスメール詐欺(BEC)の詳細事例6(p.1)|独立行政法人情報処理推進機構(IPA)
ビジネスメール詐欺への対策
メール以外で事実確認を行う
ビジネスメール詐欺による被害を防ぐためには、Eメール以外の方法による確認が重要です。先述した経営者へのなりすまし事例では、役員が電話で事実確認をしたことでビジネスメール詐欺であると発覚しました。とくに金銭の支払や機密情報の開示などを要求された場合は、電話やFAXなどによる事実確認で被害を未然に防げる可能性が高まります。ただし、Eメールに記載されている電話番号やFAX番号は偽物の可能性があるため、別途連絡先を調べなければならない点には注意が必要です。
電子署名を付与する
ビジネスメール詐欺への有効な対策として挙げられるのが電子署名付きEメールの活用です。電子署名とは、電子ファイルをいつ・誰が作成したものなのかを証明する署名を指します。とくに重要事項が記載されたEメールを送付する場合、電子署名の付加を義務付けることでビジネスメール詐欺を看破できる可能性が高まります。
組織内外で情報共有を行う
ビジネスメール詐欺による被害を防止するためには、情報セキュリティに関する企業文化を醸成しなくてはなりません。特定の部門や一部の従業員だけで対策を講じても、ITリテラシーの低い人材やビジネスメール詐欺そのものを知らない従業員が被害に遭うリスクは残されたままとなります。
組織全体がサイバー攻撃への理解を深めるとともに、社内や取引先との情報共有を推進するプロセスが極めて重要です。
ウイルス対策・不正アクセス対策をする
ビジネスメール詐欺の被害に遭う企業の多くは、それ以前にEメールを盗聴されていることが少なくありません。Eメールの盗聴を防止するためには、通信内容や添付ファイルの暗号化、送信ドメインの認証に加え、OSを最新状態に保つ、あるいは不審な添付ファイルやリンクを開かないといった対策が重要です。
また、堅牢なメールセキュリティを整備することも重要です。例えば、「HENNGE Cloud Protection」ではアカウント情報の漏洩を検知することで、なりすましによるメールの送信や、侵害されたアカウントからの攻撃を防ぐことができます。
こうしたウイルス対策・不正アクセス対策によってEメールの盗聴を防止できれば、ビジネスメール詐欺に遭うリスクを最小限に抑えられます。
まとめ
ビジネスメール詐欺とは、経営層や取引先などを装って虚偽のEメールを送付し、支払口座の変更を要求したり、金銭の振込を命じたりする詐欺行為です。具体的な対策としては「Eメール以外での事実確認」「電子署名」「情報の共有」「ウイルス対策・不正アクセス対策」などが挙げられます。
ビジネスメール詐欺の被害を防ぐには、メールのセキュリティを整備し、日常から従業員のリテラシーを向上する体制を構築することが重要です。
- カテゴリ:
- メールセキュリティ
