※お知らせ:最新の「ネット炎上レポート」は株式会社エルテス サービスサイトで掲載中です。詳しくはこちら
ナレッジ

ビジネスメール詐欺(BEC)とは?その手口と非対面の増加に潜むリスク

 

情報セキュリティリスクの一つにビジネスメール詐欺(BEC)があります。ビジネスメール詐欺は、ソーシャルエンジニアリングの手法の一つでもあり、今回は、1億円を超える損害が発生したビジネスメール詐欺の実態とその対策を見ていきたいと思います。

目次
  1. ビジネスメール詐欺とは?
  2. 事例
  3. 発生要因とアフターコロナのコミュニケーション変化
  4. デジタルで完結する社会のリスク

ビジネスメール詐欺とは?

警察庁のサイバー犯罪対策プロジェクトチームからも注意喚起がなされているビジネスメール詐欺(BEC:Business E-mail Compromise)とはどのようなものなのでしょうか。

独立行政法人情報処理推進機構(以下、IPA)は、ビジネスメール詐欺を「ソーシャルエンジニアリングの手法を応用したメールなどを組織・企業に送り付け、従業員を騙して送金取引にかかわる資金を詐取するといった、直接的に金銭を狙うサイバー攻撃」と紹介して、注意を促しています。

ビジネスメール詐欺は、なりすましの対象者や目的に応じて、様々なタイプが存在します。また、なりすましの際は、メールのやり取りを覗き見したり、SNSでアカウント調査を行い、情報を徹底的に収集するケースもあります。結果として、対象者のメール文体の高い再現性などから信憑性の高いメールが送られ、ビジネスメール詐欺が成功していることもあるようです。

今回は、情報通信技術を利用せずパスワードや個人情報を盗むソーシャルエンジニアリングの一つとして、ビジネスメール詐欺に焦点を当てて、その事例と対策方法を紹介していきます。(スパムメールやマルウェア感染メールは、ビジネスメール詐欺には含めずに論を進めますので、ご了承ください。)

事例

実際にどのようなビジネスメール詐欺が存在するのでしょうか。事例を2つ紹介します。

事例1:海外と取引していた日本企業の被害

1つ目は海外とのやり取りで振り込め詐欺被害にあった日本企業の事例です。

大手航空会社Aは、アメリカの取引先企業Bになりすましたメールで航空リース料などの支払いを要求され、3.8億円を海外へ送金してしまいました。その後、被害に気付いたA社は自ら被害に遭ったことを公表されました。

詐欺のプロセスは、取引実績のある金融会社の担当者を装うメールがA社に届いたところから始まりました。支払い口座を香港の銀行に変更したとメールで伝えられ、A社の社員はそのまま支払いに応じてしまいました。しかし、その後、本物の金融会社からの支払いの督促があり、詐欺被害にあっていたことが発覚した事例です。

この事例は大きく報道されましたが、A社の同業他社でも同様のビジネスメール詐欺が届き、口座に振り込もうとしたようです。しかし、口座が凍結されており、振り込むことができず、未遂で終わったという報道もありました。

今回は海外企業を装い日本企業に対して、ビジネスメール詐欺を働きかけた事例ですが、逆に日本企業を装い海外企業にビジネスメール詐欺を働きかける事例も確認されています。

事例2:SNSで経営層になりすまし

2つ目はSNSで経営者になりすまし、詐欺にあった事例です。

大手インフラ企業Cは、LinkedIn上でC社社長になりすましたアカウントが、ビジネスメール詐欺を行っていると公表しました。詐欺の経緯は、LinkedInで社長になりすまし、連絡を取り始めた後に、メールでのやり取りに誘導。その後、社長になりすまして業務を依頼したようです。
ただ、やり取りの具体的なプロジェクトや金額を全て英語で提示されており、不審に思った受信者Dが直接C社に問い合わせを行ったことによって事態が発覚しました。

この事例は、SNSを窓口にして経営者になりすまし、偽装メールを送りつけた事例です。フリーランスなど柔軟な働き方が広がる中で、SNSを通じた商談も行われている可能性は高まっており、今後も注意が必要かもしれません。

発生要因とアフターコロナのコミュニケーション変化

恒常的に事業で海外とのやり取りが頻繁に発生する企業はこうした英語で送られてくるメールに違和感を抱かないため、詐欺の被害に遭いやすい傾向があります。

しかし、海外とのやり取りが無い企業でも、2つ目の事例のように自社の役員の名前を騙って詐欺が行われるケースもあります。感染症対策のために進む非対面型のコミュニケーションの増加は、そのようなリスクを大きくする可能性もあるため、コミュニケーションの変化に合わせたリスク対策を考える必要があります。

ビジネスメール詐欺の対策として、普段とは異なる不自然なメールに注意することや、ウイルス・不正アクセス対策を講じることはもちろん、それ以外にも以下のような対策をとることが望ましいです。

・類似ドメインの調査

ビジネスメール詐欺の攻撃者は、自組織のドメイン名に似た「詐称用ドメイン」を取得し、取引先へ攻撃することがあります。自組織に似たドメイン名が取得されていないかを確認することが重要です。

・電子署名の付与

取引先との間で請求書などの重要情報をメールで送受信する際は、電子署名を付けてなりすましを防止する対策も大切です。

・取引先とメール以外の方法での確認

振込先の口座の変更など通常とは異なる対応を求められた場合は、電話やFAXなどメール以外の方法で取引先に事実を確認することが大切です。

デジタルで完結する社会のリスク

非対面型によるコミュニケーションの便利さの影に隠れて、ビジネスメール詐欺のリスクは高まる可能性があります。サイバー攻撃などの外部からのリスク対策ももちろん重要ですが、ソーシャルエンジニアリングのリスクにもしっかり目を向けて、対策を行う必要があります。
実際に3億円もの被害にも繋がった事例もあり、大きな経営リスクになることをしっかり自覚しましょう。

参考
ビジネスメール詐欺に注意|警察庁のサイバー犯罪対策プロジェクトチーム(警視庁)
ビジネスメール詐欺「BEC」に関する事例と注意喚起~ サイバー情報共有イニシアティブ(J-CSIP)の活動より ~
(独立行政法人情報処理推進機構)

Powerd by Eltes

デジタルリスクラボ編集部

デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら

 

関連記事