社長や役員からの送金指示を信じ詐欺グループの口座に送金してしまった。ーー映画の中に出てくるような被害が現実に発生しています。ビジネスメール詐欺(BEC)というサイバー攻撃手法のひとつです。この記事では、ビジネスメール詐欺の脅威と対策について詳しく解説します。
ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(Business E-mail Compromise、略してBEC)は、経営者や取引先などになりすまし、「振込先口座が変更になった、至急送金するように」といった偽のメールを送り付け従業員をだまし、詐欺師が用意した口座へ不正に送金させる詐欺メールです。
2015年1月に米国FBIのインターネット犯罪苦情センター (IC3) は、「定期的に海外のサプライヤーや取引先と電信送金を行う組織を標的とした高度な詐欺行為」をBEC(ビジネスメール詐欺)と定義し警告を発しました。
IC3が、2023年3月に公開した「Internet Crime Report 2022」によると、2022年にアメリカの同組織に報告されたビジネスメール詐欺被害は、21,832件、27億ドル(約4050億円、1ドル=150円)でした。日本においても警察庁が同月に公開した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」では、2022年のネットバンキングによる不正送金の被害額が15億円を超えました。
「情報セキュリティ 10大脅威 2023 」ビジネスメール詐欺は7位に
独立行政法人 情報処理推進機構(IPA)が、2023年1月に発表した「情報セキュリティ10大脅威 2023」に、ビジネスメール詐欺は、7位にランクインしています。
| 順位 | 前年順位 | 法人部門の脅威 |
| 1位 | 1位 | ランサムウェアによる被害 |
| 2位 | 3位 | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | 2位 | 標的型攻撃による機密情報の窃取 |
| 4位 | 5位 | 内部不正による情報漏えい |
| 5位 | 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6位 | 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7位 | 8位 | ビジネスメール詐欺による金銭被害 |
| 8位 | 6位 | 脆弱性対策の公開に伴う悪用増加 |
| 9位 | 10位 | 不注意による情報漏えい等の被害 |
| 10位 | 圏外 | 犯罪のビジネス化(アンダーグラウンドサービス) |
ビジネスメール詐欺の5つのタイプと事案の傾向
独立行政法人 情報処理推進機構(IPA)は、ビジネスメール詐欺を次の5つに分類しています。(出典:ビジネスメール詐欺「BEC」に関する事例と注意喚起(続報)IPA)
- 取引先との請求書の偽装
- 経営者等へのなりすまし
- 窃取メールアカウントの悪用
- 社外の権威ある第三者へのなりすまし
- 詐欺の準備行為と思われる情報の詐取
JPCERT コーディネーションセンター(JPCERT/CC)が、2020年3月に公開した「ビジネスメール詐欺の実態調査報告書」によると、上記の5つの分類のうち、「取引先との請求書の偽装」に該当する事案が全体の75%、次いで、CEOやCFOなどの「経営者等へのなりすまし」が見られました。また、役員のメールアカウントが窃取され、偽の振込先に振り込みを誘導されるなど複数のタイプの要素をあわせ持った事案もありました。
ビジネスメール詐欺(BEC)事例
メールアカウントを乗っ取られたケース
サイバー情報共有イニシアティブ(J-CSIP)参加組織の海外関連会社(A社: 請求側) の担当者になりすました攻撃者から、海外の取引先企業 (B社: 支払側)の担当者に、従来の銀行口座が使えなくなるため、新しい口座への支払いを依頼する内容の偽のメールが送られました。
支払側B社の担当者がそのメールに、新しい銀行口座情報を送ってほしいと返信しました。しかし、A社の担当者になりすました攻撃者から、新しい銀行口座の情報を連絡するのには時間がかかるため支払いを止めてほしいと連絡がありました。
B社の担当者は、新しい銀行口座の情報をすぐに連絡できないこと、支払日の直前の依頼であることを不審に思い関係者に通報することで金銭的な被害詐欺はありませんでした。
攻撃者は、何らかの方法でA社の担当者のメールアカウントを乗っ取っていました。また、メールのCcに請求側企業の関係者のメールアドレスに似せた偽のメールアドレスが指定されており、詐欺の発覚を避ける巧妙な手口でした。
出典:サイバー情報共有イニシアティブ(J-CSIP)運用状況[2022年4月~6月](IPA)
金銭被害が発生したケース
人材育成サービスを提供しているウィルソン・ラーニングワールドワイドは、2022年11月ビジネスメール詐欺(BEC)被害を公表しました。
2022年9月、子会社2社宛に悪意ある第三者から支払代金の送金を指示する虚偽のメールが届きました。当該子会社2社がメールの指示にもとづき、2社合わせて約530万円を送金。送金後に指示が虚偽である可能性に気付き、デジタルフォレンジック等による事実関係を確認し、保険会社、捜査機関に相談しました。
ビジネスメール詐欺の事例集
IPAは、ビジネスメール詐欺の事例を紹介しています。ビジネスメール詐欺の手口を理解することで、同様の被害の未然防止啓発活動、被害の早期発見に役立てることができます。
- 偽口座送金後、一部資金を回復できた事例
- 銀行口座証明書類を偽造し振込先口座変更を依頼してきた事例
- 毎月の支払方法を変更させられ数か月間偽口座へ送金してしまった事例
- 銀行と協力し、偽口座への送金を防げた事例
- 取引相手の証明書類を偽装した事例
- 国内企業社長になりすまし、グループ企業役員に金銭の支払を要求した事例
ビジネスメール詐欺 3種類の対策
ビジネスメール詐欺の防止には、偽の送金指示などに担当者が騙されることを防止する人的な対策となりすましメールを受信するメールセキュリティ面の対策の両面が必要です。
1. 支払いに関する作業フローの強化
担当者1人で振込や口座変更などを完了できる環境はリスクが大きいです。支払いに関するメールの指示にすぐに従わずに、電話など必ずメール以外の方法で確認することや、複数人であらかじめ決めたチェック項目や承認フローを通してから送金する社内ルールを整えます。
2. ビジネスメール詐欺に対する社内リテラシー教育
BEC詐欺の典型的な例は、経営者などになりすまして極秘の指示として送金を指示するものです。社員がこのような文面を信じて被害にあわないためには、トップを含め全社的な共通認識として、支払いに関するフローを厳守する必要性や典型的な手口を学ぶ教育が有効です。
3. DMARCをベースとした認証技術
ビジネスメール詐欺を受信しないためには、DMARCと呼ばれるなりすましメール対策が有効です。DMARCは、SPF (Sender Policy Framework) およびDKIM (DomainKeys Identified Mail) をベースとしたメールドメインの認証技術です。
日本国政府は、「サイバーセキュリティ基本法」に基づき決定された「政府機関等のサイバーセキュリティ対策のための統一基準」において、電子メールのなりすまし防止策を講ずることを明記しています。統一基準案では、電子メールの遵守事項になりすまし対策が規定され、政府機関等の対策基準策定のためのガイドラインで「DMARC」によるドメイン認証技術によるなりすましメール対策が明記されました。
メール本文のフィルタリングの組み合わせも重要に
ビジネスメール詐欺の5つのタイプ(IPA)は、次のとおりです。
- 取引先との請求書の偽装
- 経営者等へのなりすまし
- 窃取メールアカウントの悪用
- 社外の権威ある第三者へのなりすまし
- 詐欺の準備行為と思われる情報の詐取
DMARCは、これらの5つのパターンのうち、1. 取引先との請求書の偽装 、2. 経営者等へのなりすまし、3. 窃取メールアカウントの悪用に有効な対策です。
一方で「4. 社外の権威ある第三者へのなりすまし」は経営幹部や取引先を偽装するのではなく、代理人としての弁護士などを騙ったメールで受信者を信用させる手口です。オレオレ詐欺といった特殊詐欺と同様に親族、警察官、弁護士を装い、親族が起こした事件・事故に対する示談金等を名目に金銭を騙し取る(脅し取る)手口と同様です。
これらのなりすましメール対策には、DMARCによるチェックだけでは限界があります。メール本文や添付ファイルで記載されている文言でのフィルタリングで詐欺メールを検知する仕組みも組み合わせることが重要です。
ビジネスメール詐欺対策ソリューション
Microsoft 365やGoogle Workspaceのビジネスメール詐欺(BEC)対策
サイバーソリューションズが提供するCloud Mail SECURITYSUITE(CMSS)は、月額200円から可能なDMARCによるなりすましメール対策で、Microsoft 365やGoogle Workspaceのビジネスメール詐欺(BEC)を対策します。CMSSの受信対策では、フィッシング、スパム、PPAP受信対策、マルウェア対策など複合的なメールセキュリティにより、危険なメールの受信を防ぎます。
詳しくは、3分でわかる「Cloud Mail SECURITYSUITE」をご覧ください。
現在ご利用中のメール環境のビジネスメール詐欺(BEC)対策
サイバーソリューションズが提供するMAILGATE Σ(メールゲーツ シグマ)は、オンプレミス製品とMicrosoft365やGoogle WorkSpaceなどのクラウドサービスにも対応できるクラウドメールセキュリティサービスです。
DMARCによるビジネスメール詐欺(BEC)対策に加え、アンチスパム、フィッシングメール対策、なりすましメール対策、マルウェアやEMOTET(エモテット)などのトロイの木馬の受信防御を月額100円で実現します。受信したメールに潜む未知の脅威を防御するサンドボックスを、月額200円で導入できます。
詳しくは、MAIL GATES Σのサービスページをご覧ください。
Microsoft 365 メールセキュリティ対策事例
不動産最大手の株式会社レオパレス21様では、Microsoft 365で運用する約7,000のメールアカウントの複合的なメールセキュリティ対策と脱PPAPを実現するためにCMSSを導入。
CMSSの導入により、最新の脅威の防御と、メールセキュリティの運用・管理工数を削減しました。
詳しくは、レオパレス21様の導入事例をご覧ください。