金銭だけでなく、機密情報も狙われる!?
ビジネスメール詐欺の被害を防ぐ5つの対策
ビジネスメール詐欺は、いまやあらゆる企業や組織にとって見過ごせない脅威の1つです。経営幹部や取引先などになりすました業務依頼メールを発端として、金銭や機密情報をだまし取られる被害が相次いでいます。従業員一人ひとりがビジネスメール詐欺の手口を知り、5つの対策を実践しましょう。
国内企業の約4割がビジネスメール詐欺のメールを受信
ビジネスメール詐欺(Business Email Compromise、BEC)が、企業や組織に深刻な被害を及ぼしています。ビジネスメール詐欺とは、業務メールの盗み見を発端として、経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るサイバー犯罪です。
米国連邦捜査局(FBI)による2018年7月の発表では、2013年10月から2018年5月における全世界でのビジネスメール詐欺の被害件数は7万8,617件、累積被害額は125億3,694万8,299米ドル(2018年9月26日のレート換算で約1兆4,147億円)に上りました。これまでに公表された情報をもとにトレンドマイクロで算出した結果*、2013年10月から12月までの全世界における月平均被害額が約150億円であったのに対し、2017年1月から2018年5月までの平均は約470億円にも上っています。さらに、1件当たりの平均被害額も約1,460万円から、約2,090万円とより高額になっています。
*:FBIの公開情報をもとに、トレンドマイクロで独自に整理
図:全世界におけるビジネスメール詐欺の月平均被害額
トレンドマイクロが2018年6月に調査を行った結果、回答者の39.4%が金銭や特定の情報をだまし取ろうとするなりすましメールを受信した経験があることがわかりました。うち、送金を依頼するメールの受信者の割合は62.3%、個人情報や機密情報などの送付を促すメールの受信者の割合は51.5%でした。ビジネスメール詐欺は一般に、なりすましメールによる送金詐欺として知られていますが、特定の情報を盗み出すことも目的としています。そして、送金被害額が分かっているケースの大半において1,000万円以上であるとの回答も得ており、このことからも一度被害を受けると企業や組織への打撃が非常に大きなものになると言えます。ビジネスメール詐欺について詳しく見ていきましょう。
経営幹部や取引先になりすます手口は定番
ビジネスメール詐欺にはさまざまな手口がありますが、共通するのはサイバー犯罪者が信ぴょう性を高めるなりすましメールを仕立てるため、業務メールの盗み見やネット上の公開情報を基に、標的組織で進行している取引や人間関係などを把握することです。業務メールを盗み見る手口は大きく分けて2つあります。
1つ目はフィッシング詐欺です。たとえば、業務メールにクラウドサービスを利用する組織を標的とするサイバー犯罪者は、システム担当者などのフリをして業務メールシステムへの再ログインを呼びかけるメールを従業員に送りつけ、そこから偽のログインページへ誘導します。そこでアカウント情報を入力すると、サイバー犯罪者によって認証情報が盗まれてしまいます。
2つ目の手口は、キーロガーと呼ばれる不正プログラムの悪用です。キーロガーは、キーボードで入力された情報を外部に送信します。キーロガーに感染させるには、たとえば「緊急案件」を件名とする不正ファイルを添付した偽メールを送りつけ、そのファイルを開封してしまった従業員のパソコンにキーロガーを送り込みます。これにより収集した入力情報を解析することで、業務メールのアカウント情報を割り出すことも可能です。
こうして業務メールを盗み見ることに成功したサイバー犯罪者は、もっともらしいなりすましメールを作成、送信し、標的の従業員を巧みにだまします。最近のビジネスメール詐欺は、「経営幹部になりすます攻撃」と「取引先になりすます攻撃」の大きく2つのタイプに分けられます。それぞれについて見ていきましょう。
●経営幹部になりすます
最高経営責任者(CEO)や経営幹部になりすました送金指示メールを標的組織の経理担当者などに送りつけ、サイバー犯罪者が用意した口座へ送金させる手口が確認されています。このタイプはビジネスメール詐欺の中でも「CEO詐欺」と呼ばれており、「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけてきます。
実際に、国内企業のCEOを詐称する日本語メールが確認されており、「機密扱いで相談したい」などと呼びかけるメールが法人組織の経理担当者宛に送付されていました。この事案では、「jp-fsa.com」のドメイン(@以降の文字列)からメールを送信して金融庁を偽装したり、CEOと弁護士が過去にやり取りしたとする英語の文面を貼り付けたりし、本物のメールに見せかけようとしています。また、実際の送信元メールアドレスから受信者の注意を逸らすため、受信トレイ上の送信者のメールアドレスを表す差出人情報を“CEOの氏名”<SAMPLE@sample.co.jp>などと見出しのように表示していました。
図:7月にトレンドマイクロが確認した日本語の詐欺メール例
●取引先になりすます
取引先を装って偽の請求書を添付したメール、振込先の変更を依頼するメールを標的組織の従業員に送りつけ、サイバー犯罪者の管理下にある口座に送金させる手口が確認されています。やっかいなのは、標的組織と取引先とのメールのやり取りを盗み見てどのような取引が進行しているかを把握し、振り込みが発生するタイミングでなりすましメールを送りつけてくることです。過去にやり取りされた文面をコピーして署名以下のスペースに貼り付け、正規のメールに見せかける細工も確認されています。
図:取引先になりすましたビジネスメール詐欺のサンプルメール
従業員一人ひとりができる5つのビジネスメール詐欺対策
ビジネスメール詐欺は企業や組織の規模、地域、業種を問わない脅威です。すべての企業や組織がその脅威にさらされているということを自覚しましょう。そして、この犯罪は標的の従業員をだませるかどうかにかかっているため、どの従業員が、いつ狙われるかわかりません。このため、従業員一人ひとりがビジネスメール詐欺の手口を知り、勤務先や取引先を危険にさらさないよう、脅威から回避する行動を日々心がける必要があります。以下の5つのビジネスメール詐欺対策を紹介します。
1.送金や情報提供を促すメールを注意深く確認する
経営幹部からの急な送金指示や取引先からの普段とは異なる口座への送金依頼、情報提供を促すメールを受け取ったら冷静に立ち止まり、メール文面の言い回しに不自然さがないかどうか、差出人のメールアドレスのドメイン名(@以降の文字列)が正しいかどうかを確認してください。ビジネスメール詐欺では、正規のドメイン名の一部を形状の似た文字、たとえばwをvv、o(オー)を0(ゼロ)などに置き換えてなりすましメールを送りつけてくることもあります。何らかの違和感を覚えた場合、依頼メールの署名欄にある電話番号ではなく、普段使用している電話番号に連絡をしたり、本人と直接確認するなど、送られてきたメール以外の手段で事実確認を行いましょう。
2.勤務先の規程に従って行動する
経営幹部や取引先などからメールで送金や機密情報の提供を依頼されたら、複数の担当者による承認プロセスを経るなど、必ず勤務先の規程に定められた手順に従って行動しましょう。たとえ、「緊急」や「極秘」などと書かれていても決められた承認プロセスを省略してはいけません。
3.メールのURLリンクや添付ファイルを不用意に開かない
たとえ、経営幹部や取引先から届いたメールでも、URLリンクや添付ファイルを不用意に開かないでください。URLリンクや添付ファイルの開封を促すメールは、受信者をフィッシングサイトへ誘導したり、標的のパソコンにウイルスなどの不正プログラムを送り込んだりするためにサイバー犯罪者が送りつけてきたものかもしれません。
4.IDとパスワードを適切に管理する
Webメールをはじめ、業務に関連するクラウドサービスのアカウント情報(IDとパスワード)を適切に管理してください。複数のサービスに同一のIDとパスワードを使いまわさない、第三者に推測されにくい複雑なパスワードを設定する、勤務先の規定に沿って管理することを徹底しましょう。
5.OSやソフトを正しく更新し、セキュリティソフトも最新の状態で利用する
セキュリティ対策の基本は、OSやソフトの開発元からアップデート通知が届いたら更新プログラムを適用し、脆弱性を修正することです。ただし、企業によってはシステム管理者がアップデートのタイミングを従業員に指示することもあるため、勤務先の規定に従いましょう。セキュリティソフトも最新の状態で利用してください。
]]>
