ビジネスメール詐欺は、多くのビジネスがデジタルコミュニケーションをベースとして行われている現代だからこそ成り立つ犯罪行為です。その存在が知られるようになって数年が過ぎていますが、今も被害を受ける企業が後を絶ちません。メールを利用して巧妙な罠を仕掛けてくるビジネスメール詐欺の手口や事例、対策について解説します。

ビジネスメール詐欺とは

ビジネスメール詐欺とは、自社の経営者層や取引先の担当者になりすまし、偽のメールを送って入金を促すことで企業に金銭的被害を与えるサイバー攻撃です。「Business Email Compromise」を略してBECとも呼ばれます。特定の企業や組織、人を狙った標的型攻撃メールの一種でもあります。

IPA（独立行政法人 情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」では、2018年に初めて「ビジネスメール詐欺による金銭被害」が3位になってからランクインしつづけており、2021年は5位となっています。

ビジネスメール詐欺の手口

ビジネスメール詐欺では、攻撃者が経営者や役員、取引先担当者になりすましてメールを送ります。

メールの内容は、経営者になりすますケースでは「極秘の買収案件をするため、至急かつ内密に指定口座に送金をしてほしい」、取引先担当者になりすますケースでは「問題が発生して既存の口座が使用できないので、新しい口座に振込を」といったものが確認されています。ほかにも企業の経理担当者や会計士、弁護士になりすますケースもあります。

こうしたメールを送るために、攻撃者は事前に標的とする企業についての情報を収集します。用意周到な場合はメールを一定期間不正に閲覧して普段のやりとりを観察し、文面の癖なども分析してから攻撃を仕掛けることもあります。

企業のメールアドレスによく似たアドレスを使ってメールヘッダーを偽装する、本物のメールアカウントを乗っ取って取引先などになりすます、担当者同士のメールのやりとりの最中に割り込んで偽装した請求書を送るといった手法で、本物のビジネスメールとの判別が難しいとされています。

ビジネスメール詐欺の事例

具体的なビジネスメール詐欺の事例を見てみましょう。

3.8億円もの詐欺被害

ある会社の担当者のもとに、何度もメールのやりとりをしている取引先からメールで支払口座の変更連絡が来ました。これまでと同じフォーマットのサイン入り請求書も添付されていたため、担当者は疑うことなく香港の指定口座に約3億6,000万円を送金しました。さらにその後、別件で貨物の業務委託料についての請求が届き、そちらにも約2,400万円を振り込んでしまいます。

しかし、請求書はどちらも偽物でした。メールを不正に閲覧されていて、請求書が届いてもおかしくないタイミングで攻撃者が相手企業の担当者になりすまして、口座への送金を促したものと考えられています。

CEOの本物のメールアドレスを使用

ある会社のCEOから従業員あてに「機密扱いでお願いしたい事項があります」という文章で始まるメールが届きました。英語による国際法律事務所の弁護士とのやりとりを転送・引用したメールで、内容はその弁護士から連絡があったかどうかを問うものでした。さらに金融庁の取り決めにより通信はすべてメールで行うとの旨も書かれていました。CEOの氏名とメールアドレスは本物で、返信の際はccで弁護士にも送信するようにとの指示もありました。

従業員の1人がこのメールに返信すると、ビットコインの購入準備で国際送金の必要があるとのメールが返ってきました。担当者はそこで不審だと気づいたため事なきを得ましたが、メールに返信すると攻撃者のもとのみにメールが届く仕掛けがなされていました。

ビジネスメール詐欺の被害に遭わないための対策

上記のように、ビジネスメール詐欺の手口は巧妙で、ベテランの担当者でも簡単に騙されてしまうことがあります。ビジネスメール詐欺を防ぐための有効な対策はあるのでしょうか。

まず必要なのは、「送金に関するメール」を受け取ったらそれが本物の依頼なのかしっかりと確認する意識を持つことです。とくに経理担当者はこのことを徹底する必要があります。口座変更の連絡に対しては疑いを払拭するために電話連絡などをして、「変更は本当なのか」を必ず確かめましょう。少しでも違和感があったら1人で判断するのではなく、上司などに報告して指示を仰ぐべきです。

また、送金業務に関連してビジネスメール詐欺を想定した対応マニュアルを整備しておくのも役に立ちます。とくに口座変更への対応については社内の承認フローを設けておきましょう。さらにメールアドレスの確認方法や添付ファイルの扱いなども含めて、メールソフトの使用方法に関して社員教育をし、情報共有を徹底することが求められます。

技術的な対策としては、ウイルス対策ソフトおよびメールセキュリティソフトの導入、OSやアプリケーションの脆弱性をカバーするための最新バージョンへのアップデート実施なども挙げられます。

もしもビジネスメール詐欺に引っ掛かると、多額の金銭的被害を受けるおそれがあります。攻撃者の誘導に乗らないようにするには、ITセキュリティを強化することはもちろんですが、従業員一人ひとりが高いセキュリティへの意識を持つことが何よりも大事だといえるでしょう。