現代はデジタル化の進展とともに不正アクセスやマルウェアといったサイバー攻撃も年々多様化かつ巧妙化していく傾向にあります。なかでも問題視されているのが「ビジネスメール詐欺(BEC詐欺)」と呼ばれる犯罪行為です。本記事ではビジネスメール詐欺の被害事例や具体的な対策などについて解説します。
ビジネスメール詐欺(BEC詐欺)とは?
ビジネスメール詐欺とは、自社の経営層や関連会社、取引先などを装ってEメールを送付し、金銭を詐取する詐欺行為です。「Business Email Compromise」の頭文字をとって「BEC詐欺」とも呼ばれます。端的にいえば個人ではなく法人をターゲットとする振り込め詐欺のような犯罪行為です。非常に手口が巧妙かつ被害が高額になるケースが多く、同様の事案が世界中で問題となっています。
年々BEC詐欺の被害が拡大している
BEC詐欺による被害は、ここ数年で急速に拡大し、企業に深刻な損失を与えています。2021年時点で世界のサイバー犯罪による損失の中で大きな割合を占め、BEC詐欺の総額は430億米ドルに達したとFBIは報告しています。
この詐欺は犯罪者が高度な技術を用いなくても、相手の心理を巧妙に突くことで簡単に金銭を詐取できるため、低コストで高収益を上げやすい手口です。日本でも2017年以降、企業が大きな被害に遭う事例が急増しており、被害防止のためには認知度を高めるとともに対策強化が急務といえるでしょう。
被害が拡大する背景には、働き方の変化やデジタル化の進展も影響していると考えられます。
Eメールアカウント侵害(EAC)との違い
Eメールアカウント侵害とは、Eメールシステムが悪意ある攻撃者によって不正に制御されるサイバー攻撃です。ビジネスメール詐欺(BEC)とEメールアカウント侵害(EAC)の違いは、Eメールシステム自体が侵害されているかどうかにあります。
ビジネスメール詐欺はディスプレイネームの詐称や類似ドメインの利用を通じて実行するなりすまし行為ですが、Eメールアカウント侵害は実在するEメールアカウントを侵害する攻撃です。そして侵害したアカウントを利用して立場や身分を偽装し、指定口座への送金を促したり、機密情報を窃取したりします。ビジネスメール詐欺とは違って正規のアカウントからEメールが届くため、迷惑メールフィルターをすり抜けるとともに、受信者はフィッシングメールと気付きにくいという特徴があります。
標的型攻撃との違い
標的型攻撃とは、個人や法人といった特定のターゲットを狙って実行されるサイバー攻撃です。取引先や顧客、経営層などを装い、クリックするとマルウェアに感染するURLやファイルを添付したEメールを送付するのが代表的な手口です。ビジネスメール詐欺はなりすましによる金銭の支払い指示といった詐欺行為を指しますが、標的型攻撃は特定の組織や個人に対して攻撃を仕掛ける広範なサイバー攻撃を意味します。
また、ビジネスメール詐欺は主に金銭の要求を目的とする詐欺行為ですが、標的型攻撃は情報の窃取を主要な目的とする、より高度なサイバー攻撃です。官公庁や大手企業がターゲットになりやすい傾向にあったものの、近年では中小企業や地方自治体への攻撃も増加しています。
フィッシングとの違い
フィッシング詐欺とBEC詐欺は、どちらもEメールを悪用した詐欺行為ですが、その目的と手口には違いがあります。
フィッシング詐欺は不特定多数の個人を標的にし、クレジットカード情報やパスワードを不正に取得することを目的としています。一般的には偽のログインページへ誘導するリンクを含むEメールが使用され、対象者に情報を入力させて詐取します。
一方、BECは特定の企業や個人を標的にし、送金指示の変更を依頼するなどして金銭を直接詐取する手法です。
攻撃者は関係者になりすますため、受信者が疑いを抱きにくいのが特徴です。両者は異なる手法であっても、ともに被害を防ぐための警戒が不可欠です。
ビジネスメール詐欺の典型的な5パターン
BEC詐欺にはさまざまな手口が存在します。代表的な5つの手口は下記の通りです。
- 取引先との請求書の偽装
- 経営者等へのなりすまし
- 偽装メールアカウントの悪用
- 権威のある第三者になりすまし
- 詐欺準備のための情報搾取
それぞれ詳しく解説します。
取引先との請求書の偽装
取引先企業を装い、請求書の振込先口座情報を偽装する手口です。
攻撃者は請求書の支払い段階で介入し、本来の振込先を詐欺用の口座に変更した偽の請求書を送付します。
この詐欺手法は、特に定期的にやり取りのある取引先との関係性を悪用する点が特徴であり、取引相手のメールアドレスがごくわずかに異なる偽アドレスを用いて送信されることが多くあります。さらに、請求書のレイアウトや表現、金額や取引内容も実際の請求書を模倣しているため、受信者が違和感を持ちにくい点が巧妙です。
場合によっては、取引のタイミングに合わせて偽の請求書を送り、通常の請求書に紛れさせることで発見を遅らせ、詐欺口座への送金を誘導する仕組みとなっています。
経営者等へのなりすまし
会社の経営者や役員になりすまし、財務担当者に急な送金を依頼する手口です。
攻撃者は社長や役員を装ってEメールを送り、「至急対応が必要」「今すぐ振り込んで欲しい」といった緊急性を強調して指示を出し、受信者に心理的な圧力をかけます。
特に経営層からの急な依頼となると、通常は確認する間もなく対応が優先されるため、受信者が冷静な判断を失いやすい点が狙いです。攻撃者はさらに、組織の役職や肩書きなどの内部情報も事前に収集し、リアルな設定を用意することで信憑性を高めています。
また、送金先の口座や振込金額も不自然にならないよう巧妙に設定されていることが多く、受信者が疑念を抱かないように仕組まれています。
偽装メールアカウントの悪用
実際に使用されている個人や企業のメールアドレスを偽装して悪用し、BECが実行されるケースも増えています。フリーアドレスやランダムな文字列が並んでいるメールアドレスは、企業の迷惑メールフィルター等に引っかかるため、企業の従業員が目にすることなく破棄される場合が多いです。
しかし、実際に使用されているアドレスとドメインが似ている場合は迷惑メールと気付かずに従業員の元に届く可能性が高いです。そして、従業員が気付かないまま、メールのやり取りを行い金銭が搾取されます。
企業でメールのセキュリティ強化を行っていても対策が難しいことがこの手法の特徴です。
社外の権威ある第三者へのなりすまし
政府機関や公的機関の職員、企業の公式サポートを装い、信頼を獲得した上で詐欺を実行する手口です。攻撃者は、政府の担当者や公的機関の名を用いてEメールを送信し、相手に信頼させた上で金銭や機密情報の提供を求めます。
特に「緊急の対応が必要」「重要事項に関する確認がある」といった文言を用いることで、受信者が冷静な判断をする間を与えず、回答や対応を急がせるのが典型的な手法です。このように信頼性の高い組織を装うことで受信者に警戒心を抱かせず、指示に自然と従わせる点がこの手口の特徴です。
多くの場合、偽装メールの内容は巧妙につくられており、一見すると正当な連絡に見えます。そのため、事前にこうした手口を認識し、少しでも不審に感じたときは慎重な対応を心がける姿勢が求められます。
詐欺の準備行為と思われる情報の搾取
BEC詐欺の準備段階で行われる情報搾取も、企業にとって大きなリスクを伴う手口の1つです。攻撃者は、企業の取引先や財務情報、組織図などを丹念に収集し、詐欺が成功するよう周到に計画を立てます。
具体的には、取引の頻度やパターン、従業員の役職や担当業務を把握し、通常の業務の一環であるかのように見せかけたEメールを送信します。さらに、やり取りの内容や口調まで細かく調査し、本物そっくりの文面を作成して疑念を抱かせないよう工夫します。
このようにして、受信者があたかも通常業務の延長で対応しているかのように感じさせることで、詐欺行為を実行しやすくする点が特徴です。
IPAが紹介しているビジネスメール詐欺の事例
IPA(情報処理推進機構)は、国内で発生した具体的なビジネスメール詐欺の事例を紹介し、企業が注意すべきポイントや実際の手口を詳細に説明しています。これを活用することで、企業が同様の詐欺に対して警戒を強め、被害を防ぐための知見が得られます。
1.請求担当を装った攻撃者の事例
2015年12月と2016年1月に、ある企業に対して取引先の請求担当者になりすましたEメールが届いたというビジネスメール詐欺の事例があります。このケースでは攻撃者が何らかの方法で二社間の請求に関わるEメールのやり取りを盗聴(盗み見)したと推察されます。ただし、この事例では国内企業がEメールの不審な点に気付き、ビジネスメール詐欺であると看破したことで金銭的な被害は出ていません。
参照元:ビジネスメール詐欺「BEC」に関する事例と注意喚起(p.9)|独立行政法人情報処理推進機構(IPA)
2.毎月の支払方法を変更され偽口座に送金した事例
2021年2月、日本と米国の企業間取引において、請求側の企業から毎月の支払い方法を小切手から銀行振込に変更してほしいとの依頼がEメールで届きます。しかし、これは請求側の企業になりすました攻撃者による虚偽のEメールでした。支払側の企業はビジネスメール詐欺であると気付けず、請求側の企業から未入金の連絡があるまで3カ月もの間、偽の口座に送金するという被害が発生しています。
参照元:ビジネスメール詐欺(BEC)の詳細事例3(p.1)|独立行政法人情報処理推進機構(IPA)
3.社長になりすまして役員に金銭を要求した事例
2022年8月、ある企業の役員に対して、経営者になりすました攻撃者から「M&Aに協力してほしい」という旨のEメールが送付されます。役員がプロジェクトの進め方について質問をしたものの回答を得られず、不審に思ったため経営者に電話で確認したところ、ビジネスメール詐欺であると発覚しました。この事例では電話確認によって詐欺行為を看破できたため、金銭的な被害は発生しませんでした。なお、Eメールでのやり取りは全て日本語であったといいます。
参照元:ビジネスメール詐欺(BEC)の詳細事例6(p.1)|独立行政法人情報処理推進機構(IPA)
ビジネスメール詐欺への対策
ビジネスメール詐欺の被害を防ぐためには下記の対策が挙げられます。
- 普段と異なるメールに注意する
- メール以外で事実確認を行う
- 電子署名を付与する
- 組織内外の情報共有を行う
- ウイルス対策・不正アクセス対策をする
それぞれ詳しく解説します。
普段と異なるメールに注意する
ビジネスメール詐欺を防ぐには、普段と異なる内容や送信者からのメールに注意を払うことが重要です。
例えば、送金指示の変更依頼や急な支払い要求が含まれている場合、特に慎重な対応が求められます。こうしたメールは、表現が微妙に異なっていたり、送信元アドレスが一文字違うだけの偽アドレスから送られているケースもあります。
また、過去のやり取りと整合しない点や、通常の取引手順から外れた要望が含まれることもあるため、そのような不自然さに着目することが大切です。さらに、文面がやけに丁寧であったり、逆に簡潔すぎたりする場合も注意が必要です。
些細な違和感を覚えた際には必ず同僚や関係者に確認し、単独で判断しない姿勢が被害防止につながります。
メール以外で事実確認を行う
ビジネスメール詐欺による被害を防ぐためには、Eメール以外の方法による確認が重要です。先述した経営者へのなりすまし事例では、役員が電話で事実確認をしたことでビジネスメール詐欺であると発覚しました。とくに金銭の支払や機密情報の開示などを要求された場合は、電話やFAXなどによる事実確認で被害を未然に防げる可能性が高まります。
こうした慎重な確認手順が、万が一の被害拡大を防ぐための重要な防波堤となります。ただし、Eメールに記載されている電話番号やFAX番号は偽物の可能性があるため、必ず公式サイトや信頼できる方法で別途連絡先を調べなければならない点には注意が必要です。信頼できる連絡先を利用することで、より確実な確認が可能となります。
電子署名を付与する
ビジネスメール詐欺への有効な対策として挙げられるのが電子署名付きEメールの活用です。電子署名とは、電子ファイルをいつ・誰が作成したものなのかを証明する署名を指します。とくに重要事項が記載されたEメールを送付する場合、電子署名の付加を義務付けることでビジネスメール詐欺を看破できる可能性が高まります。また、法的な証拠としても利用されるため、企業の信用を守る効果もあります。
電子署名には、送信者の改ざん防止や、第三者によるなりすまし防止の効果も期待されます。電子署名があることで、受信者はそのEメールが本物であるかを確認しやすくなるため、取引の信頼性が向上し、詐欺のリスクを大幅に低減できるでしょう。
組織内外で情報共有を行う
ビジネスメール詐欺による被害を防止するためには、情報セキュリティに関する企業文化を醸成しなくてはなりません。特定の部門や一部の従業員だけで対策を講じても、ITリテラシーの低い人材やビジネスメール詐欺そのものを知らない従業員が被害に遭うリスクは残されたままとなります。このため、企業全体で情報セキュリティの重要性を共有し、定期的な教育や訓練を行うことが求められます。
組織全体がサイバー攻撃への理解を深めるとともに、社内や取引先との情報共有を推進するプロセスが極めて重要です。また、具体的な事例や最新の攻撃手口を共有することで、従業員の意識を高めることが期待されます。
ウイルス対策・不正アクセス対策をする
ビジネスメール詐欺の被害に遭う企業の多くは、それ以前にEメールを盗聴されていることが少なくありません。Eメールの盗聴を防止するためには、通信内容や添付ファイルの暗号化、送信ドメインの認証に加え、OSを最新状態に保つ、あるいは不審な添付ファイルやリンクを開かないといった対策が重要です。
また、堅牢なメールセキュリティを整備することも重要です。例えば、「HENNGE Cloud Protection」ではアカウント情報の漏洩を検知することで、なりすましによるメールの送信や、侵害されたアカウントからの攻撃を防ぐことができます。
こうしたウイルス対策・不正アクセス対策によってEメールの盗聴を防止できれば、ビジネスメール詐欺に遭うリスクを最小限に抑えられます。
BEC対策にはHENNGE OneのCybersecurity Editionがおすすめ
BEC詐欺対策として、HENNGE OneのCybersecurity Editionは特に有効なソリューションです。このCybersecurity Editionは、標準的な対策ではすり抜けてしまう、不審なメール/ファイルを自動で発見・隔離します。
こうした高度なセキュリティ対策により、企業は安心して業務に集中でき、BECをはじめとするサイバー攻撃からの防御が強化されます。
まとめ
ビジネスメール詐欺とは、経営層や取引先などを装って虚偽のEメールを送付し、支払口座の変更を要求したり、金銭の振込を命じたりする詐欺行為です。具体的な対策としては「Eメール以外での事実確認」「電子署名」「情報の共有」「ウイルス対策・不正アクセス対策」などが挙げられます。
HENNGE OneのCybersecurity Editionでは、継続的かつ実践的な標的型攻撃メール対策訓練標的型攻撃メール対策訓練標的型攻撃メール対策訓練を自動化し、報告フローの定着化で組織のセキュリティレベルの向上が実現可能となります。
ビジネスメール詐欺の被害を防ぐには、メールのセキュリティを整備し、日常から従業員のリテラシーを向上する体制を構築することが重要です。
