ビジネスメール詐欺(以下、BEC)とは、取引先や企業幹部(最高経営責任者、役員)等になりすまして巧妙に細工したメールを送信し、企業担当者を騙して偽の口座に送金させる詐欺の事です。
英語の「Business Email Compromise」の頭文字を取りBECと呼ばれています。
米連邦捜査局(FBI)の発表では、2013年10月~2016年6月に世界の企業約2万2千社で約31億ドル(約3500億円)となっており、ランサムウェアなどと比較して、金銭被害額が大きい事が特徴です。
IPAは、日本企業が関係する取引が狙われた事例4件を紹介しており、ビジネスメール詐欺は、海外だけではなく日本国内でも一部被害が確認されています。
BECの攻撃手法は、取引先や企業幹部になりすましたり、従業員メールアカウントを乗っ取るなどの手法があります。
なりすまし事例
IPAによると、攻撃者は標的である従業員を騙すために、偽のメールアドレスを取得し、本物そっくりのアカウントを用いるとのことです。
本物のメールアドレスの一部を追加、削除するなどして改変し、一見見分けが付かないように巧妙に細工しています。
また、この様な偽のメールアドレスを使用した上で、攻撃者は「請求側と支払い側の両方になりすます」、「メールのCcも偽物のメールアドレスに差し替え、他の関係者にもあたかもメールが届いているかのように細工する」、「メールの引用部分にある過去のやり取りについて、都合の悪い部分を改変する」など金銭を取得する為に非常に巧妙な手段を用いています。
<図1>偽メールアドレスの例(IPA掲載資料より引用)
BECは、取引先だけでなく企業幹部になりすます事例も
BECでのなりすましは一概に取引先だけではありません。
CEOや役員などの企業幹部になりすまして、社内の経理・財務担当者へ送金指示を行うケースもあります。
この様なケースでは経理や財務部門の従業員がターゲットとして狙われることが非常に多いとの統計が、トレンドマイクロにより発表されています。
特に経理・財務部門でも最高財務責任者が一番狙われやすいとのことです。
BECで狙われる役職(トレンドマイクロ掲載資料より引用)
BECから企業を守るためには
BECから企業を守るためには、セキュリティ対策だけではなく、まず脅威を知ることが大切です。
BECによるサイバー犯罪から企業を守るために、以下の取り組みを推奨いたします。
1.メールを注意深くチェックしましょう
※攻撃者はメールアドレスを巧妙に細工しています。メールアドレスやメール内容(文脈や言い回し、送金指示等)に不審な点がないか注意しましょう。
2.メール相手に確認をとりましょう
※送金指示や不審な点があった場合は、一度電話などで送信者に直接事実確認を取りましょう。その際は、メールアドレスに記載された連絡先ではなく、普段使用している電話番号へ連絡しましょう。
3.送金時のチェック体制を強化しましょう
※送金時の2重、3重による承認体制の強化や振込先変更などの場合は、電話などで確認を行いましょう。
4.メールの添付ファイルを安易に開かないようにしましょう
※攻撃者は、請求書や議事録などの資料を装って添付ファイルから不正プログラムを感染させようと試みます。安易に添付ファイルは開かず、OSの脆弱性を解消し、ウイルス対策ソフト、UTMによるセキュリティ対策も行っておきましょう。
