IPA(情報処理推進機構)の2018年版10大脅威によると、企業部門の脅威として「ビジネスメール詐欺 (Business E-mail Compromise:BEC)」 がランク外から第3位にランクインしています。
FBIの調査では、2013年10月から2018年5月までに、インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)などに報告されたビジネスメール詐欺の件数は78,617件、被害総額は未遂も含むと約120億ドルに上っているそうです。単純に計算すると1件あたりの被害総額は約16万ドル、日本円で約1,800万円にもなり、これまでにない非常に大きな被害をもたらす脅威としてIPAでは注意喚起を行っています。
| 【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口 |
ビジネスメール詐欺とは、取引先や金融機関を装った偽の電子メールを企業や組織の担当者に送りつけ、金銭をだまし取るサイバー攻撃です。
一見するとフィッシング詐欺に似ていますが、主な標的が「企業や組織」であることがビジネスメール詐欺の最大の特徴です。
しかも、従業員や取引先情報をあらかじめ窃取するなど周到に準備されて詐欺が行われているという点でも無差別にスパムメールを送りつけるフィッシング詐欺とは性質が異なります。
ビジネスメール詐欺の手口
・取引先からの請求書を偽装する
請求書のやり取りをメールで行っている場合、攻撃者が取引先になりすまし、自分が用意した口座を記載した、偽の請求書を送付し、振り込みをさせるという手口です。
・経営者や幹部になりすます
攻撃対象の企業や組織の上層部の人間を装い、主に経理・財務担当者に、攻撃者が用意した口座へ振り込みを行うよう指示するメールを送りつけ、それを信じた担当者が振り込んでしまうというものです。
・窃取したメールアドレスを悪用する
このケースでは、攻撃者はあらかじめ何らかの方法で従業員のメールアドレスを乗っ取り、そのアドレスを使って、取引先に偽の口座番号を記載した請求書を送付し、振り込みを行わせます。
・顧問弁護士などの第三者になりすます
例えば自社の顧問弁護士から「社長からの指示で、ある問題を秘密裏にかつ、迅速に解決するために500万円の資金が必要です。以下の口座に至急お振込みください。」といった内容のメールが来たらどうしますか?
社長からの密命であれば、上司に相談することも難しいでしょう。
そこにつけ込むのがこのパターンのビジネスメール詐欺です。
ビジネスメール詐欺の特徴
上記の手口を見ると、すべてが「なりすまし」を前提にしています。
フィッシング詐欺でもよく用いられる手口ですが、攻撃者は「メールの送信者名を偽装」してきます。
最近のメーラーでは、メールアドレスではなく、アドレス帳に登録されている人名や社名が送信者名として表示されることが多くなっています。
確かに、その方が誰からのメールかひと目で分かって便利なのですが、いちばん大事なメールアドレスが正しいかどうかをすぐに確認することができません。
また、後述しますが、マルウェアなど不正なプログラムを利用して、メールアドレス事態を乗っ取られた場合は、正しいメールアドレスからのメールなので、騙されてしまう確率が格段に上がります。
ビジネスメール詐欺の対策
ビジネスメール詐欺が「なりすまし」や「乗っ取り」から始まっていることが多いです。であれば、メールアカウントが手に入らなければ、なりすますことも、乗っ取ることもできないということです。
ビジネスメール詐欺の攻撃者にとって、「メールアカウント」が最もほしい情報と言えます。
攻撃者は主に2パターンの手法でメールアカウントを手に入れます。
| ①マルウェアを使った情報の窃取 ②内部の悪意のある従業員による盗用 |
①の場合、通常のマルウェア対策が有効です。
つまりは従業員個々の端末にセキュリティ対策ソフトを導入し、毎日決まった時間に、自動的にコンピュータをスキャンし、感染や不正アクセス、有害サイトの閲覧などがないかを監視することができます。
問題なのは②の場合です。
近年では社内の誰もが全ての情報にアクセスできるといった情報管理を行っている企業は減りつつあります。
つまり、情報の重要度に応じて、権限を有する者のみがその情報にアクセスできるという管理手法が浸透してきています。
ただ、取引先や従業員の連絡先(主にメールアドレス)は基本的にはほとんどの従業員がアクセスできないと業務に支障が及ぶ可能性があります。
そのため、悪意のある内部犯行者による情報の漏洩が増加傾向にあるのです。これはビジネスメール詐欺に限った話ではなく、その他、企業の機密情報などが売買されているという事案にも見られます。
これに対しては、社員のリテラシーとモラルの向上を図るため、定期的に教育の場を設けることがはじめの第一歩となります。
その上で、機密保持契約書を取り交わし、それに違反すれば懲戒免職を含む罰則の対象になること、そして、そこから生じた損害を賠償する責任があることを、就業規則等に明記して周知・徹底することが重要です。
また、取引先との間で請求書などの重要情報をメールで送受信する際には、電子署名をつけることも、なりすましを防ぐ点では有効です。
ビジネスメール詐欺のターゲットは企業や組織の従業員で、特に経理や財務担当者です。取引先からの振込先の変更など、重要な情報については、必ず部署内で共有し、それが正しいかどうか、取引先に確認しましょう。
また、急な振り込みが上層部から要求されたとしても、それを秘密裏に処理することは企業統治にも反する行為です。怪しいと思えば、すぐに上司に相談するなどの対策を常日頃から担当者に教育しておきましょう。
これまでは海外と取引のある企業がビジネスメール詐欺の被害者でしたが、2018年には国内の取引先を装ったビジネスメール詐欺事件も発生しました。
今後、国内でも被害が拡大する恐れがありますので、早めに十分な備えをするために、専門家によるコンサルティングが必要になるかもしれません。そうした意見を取り入れながら、少しでもリスクを軽減するための投資を惜しまないことも重要です。