Eメールが普及し始めてすぐに出現し、形を変えながら常にIPAの情報セキュリティ10大攻撃のランキングに位置するのがメールを使用した攻撃・詐欺です。
一時期は様々な対策が取られ収束しているかのように思えたメール被害ですが、近年再び被害が拡大しています。
今回は、その中でも被害が急上昇しているビジネスメール詐欺についてピックアップし、対策・対処法に至るまでをご紹介していきます。
Contents
ビジネスメール詐欺とは?
ビジネスメール詐欺とは、取引先や経営者になりすまして電子メールをやりとりし、金銭や機密情報を盗取する方法です。
英語ではBusiness Email Compromiseと呼び、その頭文字を取ってBEC(ベック)とも呼びます。
近年注目されている「標的型攻撃」と手法は似ており混同されがちですが、標的型攻撃は文字通り「攻撃」なので、取引先や経営者になりすました電子メールから、コンピュータウイルスに感染させようとしたりあらゆる攻撃を仕掛けてきます。
対してビジネスメール詐欺は、あくまでも最後まで取引先や経営者になりますまして情報を得ることを目的としています。
ビジネスメール詐欺被害の増加と背景
ビジネスメール詐欺被害がなぜ増加しているかという点においては、現在も多くの企業がメールを継続して使用している点にあります。
リモートワークが普及してきている現代においても、メールという機能を手放すことは難しいのです。
社内ではTeamsやSlackなどのチャットツールを使用しているものの、社外との連絡方法には使用するツールが違ったり登録に手間がかかったりするので、メールに依存しているというのが現状にあります。
また、傾向として発表文章などは社内であっても全社員向けメールアドレスを利用してメールで展開することも多く、そのほうが手間もかからないという理由から、メールを現在でも使用している企業が少なくありません。
現状でもまだメールはビシネスにおいて重要な役割を担っていることから、詐欺に利用されてしまうことを可能にしているのです。
ビジネスメール詐欺の手口
ではどのようにビジネスメール詐欺が行われるのかをご紹介していきます。
手口が分かれば、日頃から注意してメールを利用することもできるので防止にも役立ちますね。
取引先の請求書や口座を偽装する手口
どの企業にも取引中の案件があると思いますが、攻撃者はタイミング良く偽メールを送ってきます。
「請求書に誤りがあった」と言いつつ、前回の指定口座とは異なる口座に差額分を入金させようとしたり、「振り込み口座が変わった」などと言いながら、支払いを要求してきます。
送信者が異なるので気づくかと思われますが、この場合は表示される名前やメールアドレスを偽造しているため、あたかも現在取引している相手からのメールと間違えてしまうのです。
入金後に本当の取引相手と話が噛み合わず、詐欺にあったことに気づくケースが多いのです。
経営者層などになりすます手口
財務や経理当てに多いこのケースは、攻撃者が自社の幹部や経営者を装ってメールを送ります。
「会社を買収するので早急に資金を振り込んでほしい」などと言い、自らの口座を提示してきます。
これらの場合、「極秘情報だから他言無用で」と言えば発見も遅くなり、さらには相談できずに送金してしまうのです。
盗んだメールアドレスを悪用する手口
なんらかの方法でアカウントID、パスワードを入手した攻撃者が悪用してしまうケースです。
会社のメールアドレスのパスワードは守られていても、プライベートのパスワードと会社のメールアドレスのパスワードを同じにしている場合は注意が必要です。
ユーザーIDとパスワードの組み合わせが記載されたリストを元に攻撃を仕掛けてくる「パスワードリスト攻撃」などにより不正ログインしてくるため、正規のメールアドレスであっても送信者が本人ではない可能性があるのです。
弁護士など権威ある第三者になりすます手口
権威ある第三者の場合、顧問弁護士や税理士を装ってメールを送ることが多いです。
こちらの手口も経営者になりすます場合と同様に、「緊急」や「機密案件」などと付け加えて発見を遅らせたり相談を阻止します。
詐欺の準備として情報を詐取する手口
これまでは直接口座に入金される手口ばかりでしたが、それだけではなく情報を得ようとして詐欺を働くケースもあります。
他人になりすまして取引先や所属企業の経営者に関する情報を得て、もっと大きな詐欺を働くために動くのです。
例えば一般職員の情報を得て、そこからさらに権限を持ったアカウント(管理職等)の情報を得て標的型メールを出したり、不正アクセスに踏み切るのです。
ビジネスメール詐欺の被害事例
ビジネスメール詐欺には一体どのような被害事例があるのかをご紹介していきます。
大手企業も被害に遭うほど、ビジネスメール詐欺は脅威として認知されているのです。
2024年 スリー・ディー・マトリックス 約2億円
「株式会社スリー・ディー・マトリックス」は医療製品メーカーであり、原料代金として約86万ドルを支払う必要がありました。
その矢先に、振り込み口座変更の連絡があり、それに応じることによって86万ドルを騙し取られたのです。
さらにその後、同様の手口で約50万ドルを支払い、合計すると約136万ドルを支払ったという事件がありました。
2022年 東芝 5億円
東芝のアメリカにある子会社が、幹部を装った攻撃者から連絡を受けた事件です。
この時の金額は約5億円であり、同年第二四半期には損失として5億円を計上されています。
経営への影響は軽微とされているものの、会社によっては倒産を覚悟しなければならないケースです。
2017年 JAL 3.8億円
JALは2017年に2度のビジネスメール詐欺被害を受けています。
一件目は賃貸事業所の地上業務委託料であり、2ヶ月分約2400万円を送金したという事件です。
二軒目は旅客機のリース料として、3ヶ月分の約3.7億円を支払っています。
取引先を装った大規模な詐欺被害であったことがわかります。
ビジネスメール詐欺の被害にあわないための対策
会社経営を揺るがしかねないビジネスメール詐欺ですが、その対策も講じていく必要があります。
そこには、「自分は大丈夫」と思っている油断が最も危険です。
できることを徹底して行い、ビジネスメール詐欺を回避しましょう。
個人の対策
個人でできることを全員が徹底して行う必要があります。
まずはアカウントを適切に管理するよう心がけましょう。
決められた端末からでしかログインせず、パスワードも使いまわさないなど徹底して行うようにします。
また、OSやセキュリティソフトの更新は常に最新である必要があります。
最新にしておくことで、なりすましメールも対処できるケースがあります。
そして受診した際には、メールアドレスと本文をよく確認し、本当に本人からの送信であるのかを確認するようにしましょう。
怪しく感じた場合、別のコミュニケーションツールや電話で確認することも有効です。
さらに、添付されているファイルや記載されているリンクは不要に開かず、よく確認した上で開くように心がけましょう。
企業の対策
次に、企業ができることをご紹介していきます。
怪しいメールが来た際、メール以外に本人であるかを確認する方法をルール化し、もし該当するメールが来た場合には全員が迅速に動ける状態にしていきましょう。
また、電子署名機能も有効であることから、活用することをお勧めします。
個人での対策同様に、セキュリティソフトはなりすましメールに非常に有効であることから、導入して最新の状態を保っておくことが最低限の対策となります。
ここまでご紹介してきた内容により、かなりのなりすましメールを事前にシャットアウトできると思いますが、もし届いてしまった際には、情報の共有をできる環境・ルールづくりをおこなっておく必要もあります。
そして、企業全体で教育などを通し、従業員のリテラシーを向上させることによってビジネスメール詐欺に遭いにくい企業が出来上がります。
ビジネスメール詐欺の被害にあった時の対処
もしビジネスメール詐欺の被害に遭い、実際に損害が出てしまった際にはどのような対処が必要となってくるのかをご紹介します。
被害を最小限に食い止めるため、是非ともマニュアル化して迅速に対応できるようにしておきましょう。
1. 送金のキャンセル・組み戻し手続き
まずは金融機関に対し、送金のキャンセル・組み戻しの手続きを早急に行いましょう。
組み戻しについては相手の同意が得られなければ行えませんが、時間が早ければ送金のキャンセルができる可能性があります。
そのため、1分1秒を争うことになることを忘れないでください。
2. 状況の把握、証拠の確保
現在何が起こっているのかを時系列で整理し、まとめる必要があります。
時間が経ってしまうとあやふやになってしまう点もあるため、起こったことをすみやかにまとめましょう。
また、メールなどの通信記録は証拠となることから、サーバのログも含めて保管し、提出できるようにすることも大切です。
3. 取引先や関係者に連絡
ビジネスメール詐欺はなりすましが行われていることから、関係した取引先や関係者に連絡し、これ以上被害を拡大しないようにしなければなりません。
もしメールアカウントの不正アクセスが行われている場合、他の企業にも被害が及ぶ可能性がありますので、事故を隠そうとはせずに早急に伝えるようにしてください。
4. ウイルスチェック・パスワードの変更
まずはマルウェア感染の可能性もあるため、ウイルスチェックを行う必要があるため、チェックを行なってください。
また、アカウントの不正アクセスがある可能性もあるため、パスワードを変更することも忘れてはいけません。
できることならばこの間、ネットワークからメールサーバを切り離すことを行いたいところですが、業務との関係もあるのでどの程度実行するのかを事前に決めておく必要があります。
5. 原因調査
過去の有名な事例を見ても分かる通り、短いスパンで複数回ビジネスメール詐欺が行われる可能性があります。
そのため、なぜ起こったのかという原因を深掘りし、全社員が対策に向けて行動できるようにルールを整備していく必要があります。
6. 社内外への注意喚起・情報共有
全社員に向けてビジネスメール詐欺が発生したことを伝え、注意喚起を促す必要があります。
ここで、新たに定めたルールなどがあれば教育を通して全社員に周知し、意識が高まったことをアンケートなどを通して確認することも大切です。
また、定期的に行うことで意識の低下を防ぐことができるので、やりっぱなしにならないよう注意しましょう。
メールを悪用したその他のサイバー攻撃
今回はビジネスメール詐欺についてご紹介しましたが、他のメールを悪用したそのためのサイバー攻撃についてもご紹介していきます。
その1:ランサムウェア
ランサムウェアとは、感染したパソコンをロックしたり、データを暗号化したりすることによって使用不能状態にし、元に戻すことと引き換えに「身代金」を要求するマルウェアです。
ランサムウェア本体を直接メールに添付して感染させるばらまき型の手法や、攻撃者が標的組織の内部ネットワークに侵入し、情報窃取を行い、攻撃の最終段階でランサムウェアを展開する、標的型攻撃の手法があります。
その2:Emotet(エモテット)
感染したデバイスにマルウェアを侵入させる、トロイの木馬型マルウェアです。メールに添付されたファイルを実行することで感染します。ばらまきメールの巧妙さから一般的なマルウェアよりも感染しやすく、ウィルス対策ソフトの検知をすり抜けるケースもあり、近年世界中で被害が急増しています。
その3:フィッシング
偽のメールから偽のホームページに誘導し、クレジットカード番号、アカウント情報などといった重要な個人情報を盗み出す詐欺行為です。企業のみならず個人を対象に狙われ、実際の被害も報告されています。
最近では、電子メールの送信者名を詐称、もっともらしい文面、緊急を装う文面、接続先の偽のWebサイトも巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。
詐欺にあわないためにもセキュリティ対策とリテラシー向上に努めましょう
メール以外のツールが普及している今でもメールに依存している部分は多く、ビジネスメール詐欺は蔓延 しています。
そのため、企業に合ったセキュリティ対策と従業員のリテラシー向上が必要であることを忘れないようにしましょう。
