is702
上司からの送金指示がニセモノ!?

国内でも要注意のビジネスメール詐欺の手口と対策をチェック

2017/09/21
上司からの送金指示がニセモノ!? 国内でも要注意のビジネスメール詐欺の手口と対策をチェック

経営幹部や取引先の実在する人物などになりすまして送金指示メールを従業員に送りつけ、サイバー犯罪者が用意した口座に送金させるビジネスメール詐欺が企業や団体に多額の損失をもたらす大きな脅威になっています。勤務先を金銭被害に巻き込まないようビジネスメール詐欺の手口と対策を押さえておきましょう。

ビジネスメール詐欺の被害が深刻化

上司や取引先などになりすましてメールで業務指示を装いサイバー犯罪者の用意した口座に送金をさせるビジネスメール詐欺(BEC:Business E-mail Compromise)の被害が深刻です。2017年5月の米連邦捜査局(FBI)の発表では、2013年10月から 2016年12月におけるBECの被害総額は約53億米ドル(2017年9月11日執筆時のレート換算で約5,746億円)に上りました。実際、国内でも被害が見られ、トレンドマイクロは2016年上半期だけで200以上の日本企業がBEC関連の攻撃メールを受信していたことを確認しています。企業に高額の金銭被害をもたらすBECの手口について詳しく見ていきましょう。

ビジネスメール詐欺の手口における3つのポイント

トレンドマイクロは BECを「業務メールの盗み見を発端とした送金詐欺や情報詐取の総称」と定義しており、次のような代表的な騙しの手口を把握しています。

1.業務メールの盗み見

BECを行う犯罪者は、標的の業務メールを盗み見たうえでその情報をうまく利用し、標的の業務相手になりすまして被害者をだまします。メールを盗み見する方法は、さまざまな手口が考えられます。例えば、業務メールにクラウドサービスを利用している企業の場合には、フィッシングで標的のメールアカウント情報を盗み出し、その情報を使ってサービスにログインしてメールを盗み見します。ほかにも、標的の端末にキーロガーを感染させて、メールの内容を盗み見していたことも確認されています。

2.組織の上層部や取引先担当者になりすます

BECを行う犯罪者は標的を騙すために、盗み見したメールの情報を元に業務上関わる人物になりすましてメール連絡をしてきます。このときなりすましに多用されているのが、CEO(最高経営責任者)や社長です。「緊急」や「機密」といったメールで経営幹部から急ぎで内密に対応をしてほしいと指示を受ければ、何の疑いもなく素早く対応をしてしまうかも知れません。勤務先の経営幹部以外にも、取引先の担当者や弁護士などになりすましてメールを送ってくる手口もよく確認されています。

図1:BECのなりすましメールに用いられた役職(2016年1月トレンドマイクロ調べ)

3.送金指示メールや請求書を送ってくる

BECを行う犯罪者は、自身が用意した偽の口座に送金をさせるために、送金指示や振込先変更、請求書などの題目でメールを送ってきます。メールのやり取りを盗み見しているので、発注したものが納品された後などの送金が発生するタイミングでなりすましメールを送り付けます。そのため、被害者はよりいっそう送られてきた内容を信じてしまうことになるのです。

図2:BECのなりすましメールの特徴
(現状多くのBECメールが英語によるものだが、日本語で記載された場合を想定して作成)

ビジネスメール詐欺の被害者にならないために

BECは、一度の成功で高額な金銭が得られるサイバー犯罪者にとって都合のよい手口の1つです。しかも、ランサムウェアや標的型サイバー攻撃とくらべれば、技術的には比較的シンプルな攻撃であり、攻撃の成否はどれだけ巧妙に標的をだませるかにかかっています。言い換えるならば、企業や組織内の1人1人が手口を理解し、セキュリティ意識を高めることで被害を防ぐ可能性を大きく高めることができます。

送金に関わるメールを注意深く確認する

経営幹部や取引先の担当者などから緊急の送金を指示するメールを受信したら、差出人メールアドレスのドメイン名(@以降の部分)が正しいかどうか、指示内容に不自然さがないかどうかを慎重に確認してください。メールに記載された電話番号ではなく、いつも使用している経営幹部や取引先の電話番号に直接連絡して事実確認を行うことも大切です。

勤務先が定めるルールに従って行動する

経営幹部や取引先などから一定額を超える高額の送金や振込口座の変更をメールで依頼されたら、社内の承認プロセスを経るなど、必ず社内ルールに定められた手順に従って処理しましょう。たとえ、緊急などと書かれていても、定められたプロセスを省略すべきではありません。

メールの添付ファイルやURLリンクを不用意に開かない

たとえ、経営幹部や取引先から届いたメールでも無条件に添付ファイルやURLリンクを開いてはいけません。メールアカウントの乗っ取りでは、緊急案件などと称したメールを送りつけ、添付ファイルを開封した従業員のパソコンにウイルスを送り込む手口が確認されています。ウイルスに感染すると、キー入力情報やWebブラウザに保存されたメールのアカウント情報を盗まれてしまう恐れがあります。メール本文内のURLリンクから受信者をWebメールの偽ログインページに誘導し、アカウント情報をだまし取るフィッシングの手口にも注意しましょう。

IDとパスワードの管理を徹底する

クラウドサービスのメールアカウントなど、業務に関わるIDとパスワードは慎重に管理しましょう。また複数のサービスで同一のパスワードを使いまわさない、そして推測されにくい複雑なパスワードを設定することを徹底しましょう。

OSやソフトを正しく更新し、セキュリティソフトも最新の状態で利用する

ウイルス対策としてOSやソフトの脆弱性の修正は欠かせません。情報システム部門の指示に従って速やかにセキュリティ更新プログラムを適用してください。日々生み出される新たな脅威に対抗するため、セキュリティソフトも最新の状態で利用することを心がけましょう。

企業や団体内でダウンロードをして使える学習資料で「ビジネスメール詐欺」のおさらいをしましょう。学習後に使える理解度チェック資料もあわせてご利用ください。

is702学習資料ダウンロードページはこちら

  • VBBSSあんしんプラス
  • IT資産管理 Asset CHECKER Cloud
  • CLOMO MDM
VBBSSあんしんプラス
IT資産管理 Asset CHECKER Cloud
CLOMO MDM