特集

ビジネスメール詐欺にご注意を!

2018年1月30日に情報処理推進機構(IPA)から、最新の「情報セキュリティ10大脅威」が発表されました。このレポートは、個人・組織の視点で、今後1年間で注意するべきセキュリティの事案についてランキング形式で発表するもので、大変参考になるものです。

今回の発表で特に注目されたものは、組織側の3位にランクインした「ビジネスメール詐欺」ではないでしょうか。今回はこの「ビジネスメール詐欺」について紹介します。

 

ビジネスメール詐欺(BEC:Business E-mail Compromise)は、従来から個人に対する詐欺手法として知られている「振り込め詐欺」の法人版とも言われるものです。
具体的な手法としては、攻撃者が取引先の経理担当者や、自社の役員(CEOやCFO)等になりすまして、メールで「(請求書の)振込先が変わった」と偽情報を伝えて、攻撃者の口座に入金させるものです。

2017年12月に日本航空がビジネスメール詐欺で、約3.8億円の被害に遭ったことがテレビ・新聞等で大きく取り上げられました。また、海外においては、2016年12月までの3年間で約5000億円を超える被害が発生しているという報告もあり、非常に深刻な事態となっています。

もちろん見ず知らずの人(=メールアカウント)から、突然「入金先が変わりました」というメールが届いても、誰も相手にしないでしょう。それでは、なぜ、これほどの被害が出ているのでしょうか?

攻撃者は、事前準備として、経理や営業担当者の端末にマルウェアを感染させて日々のメールを盗聴し、業務の関係者・ビジネスプロセス・メール文章の特徴・取引内容・添付ファイルのパスワードなどを把握し、精巧ななりすましメールを作成していると考えられます。

また、攻撃者がメールアカウントを乗っ取っているケースも考えられます。メールアカウントが乗っ取られてしまってしまっていると、攻撃者が発信するなりすましメールの送信元情報やヘッダー情報は、本人から発信するメールと同じものになってしまいます。つまり、メールから得られる情報からでは、本人からのメールなのか、なりすましメールなのかの区別が一切付かなくなってしまいます。

 

取引先の担当者や自社の役員から、前触れなく「入金先口座の変更」に関するメールが届いた場合には、一度疑って確認をとる方が良いでしょう。ちなみにですが、その確認は電話等のメール以外の方法で行いましょう。

 

○ビジネスメール詐欺に関する参考サイト

警視庁:ビジネスメール詐欺に注意
https://www.npa.go.jp/cyber/bec/index.html

IPA:【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口
https://www.ipa.go.jp/security/announce/20170403-bec.html