現在も再拡大しているサイバー攻撃のビジネスメール詐欺(BEC)というのをご存知でしょうか?
IPAの情報セキュリティ10大脅威 2022年にも8位にランクインしているサイバー攻撃の1つです。
以前と比較すると、順位は落ちてきているものの、サイバー攻撃事態が急増しているので順位が下がったからと言って安心はできない状況だと言えるでしょう。
様々なチャットツールやWeb会議アプリ、グループウェアやSNSが利用されている現代でも、未だにコミュニケーションツールとしては電子メールが広く利用されています。
特にクライアントなど社外とのコミュニケーションツールとして電子メールを利用することが多いと思います。
そのような状況を逆手に取ったサイバー攻撃が巧妙化しており、金銭を支払ってしまったり、機密情報を搾取されてしまったりするような被害が相次いでいます。
取引先や上司や経営者になりすまし、添付の請求書に記載されている口座へ振り込むように誘導され、送金したらすぐにお金を引き出されてしまいます。メールの内容も精巧になっていて、一見では判別つなかないこともあるほどです。
もしかしたら、既にそういったメールを受け取ったことがある方もいらっしゃるのではないでしょうか。
本記事では、ビジネスメール詐欺の巧妙な手口について解説するとともに、被害にあわないための対策についても解説いたします。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、まずはITのことならなんでも無料で相談できるITボランチへご相談ください。お問い合わせはこちらから
ビジネスメール詐欺とは
ビジネスメール詐欺とは、取引先や経営者等になりすまして電子メールのやり取りし、ターゲットを欺き金銭や機密情報を盗取する詐欺です。英語で表記したときのBusiness Email Compromiseの頭文字をとって、BEC(ベック)とも呼ばれています。
ビジネスメール詐欺と類似した攻撃手法として近年同様に注目を集めているのが「標的型攻撃」です。標的型攻撃は特定の企業や組織に対しターゲットを定め執拗に攻撃を繰り返します。その手法は電子メールのみならず、ありとあらゆる手法がとられ、サービスの妨害や、機密情報の盗取などが主な目的です。
それに対し、ビジネスメール詐欺は、電子メールを手口に情報を盗み取り、不正送金による金銭盗取が主な目的です。攻撃者は電子メールを傍受し、ターゲットと実際の取引先とのやり取りに巧妙に介入します。このようにビジネスメール詐欺は手口と目的が明確であることが特徴です。
IPA情報処理推進機構が毎年公表している情報セキュリティ10大脅威においてビジネスメール詐欺は2018年頃から注目集めるようになりました。一時期、被害件数は減少に転じましたが、新型コロナ感染防止策によるテレワークなどのニューノーマルな働き方が広がるとともに、国内のみならず世界中で被害が再び増加傾向にあります。
ビジネスメール詐欺の具体的な手口とは
ではビジネスメール詐欺について具体的な手口を紹介します。
手口1:メールアドレスを詐称する手口
メールアドレスを悪用する手口として、似たようなメールアドレスを作成してなりすます手口があります。例えば、メールアドレスを1文字入れ替えたり、追加したり、一見すると本物に見えてしまう紛らわしいメールアドレスを意図的に作成する手口です。
例
本物: john@c[o]rporate.com
偽物: john@c[a]rporate.com
このような紛らわしいメールアドレスからのメールに返信してしまうことで、不正送金に誘導される手口です。
手口2:メールアカウントの乗っ取る手口
何らかの手段でメールアカウントを乗っ取り、本人になりすました手口による被害も存在します。この場合は実在しているメールアカウントであるため、ターゲットが本人からと信じてしまうことで、詐欺が成功してしまう可能性が高いと言えるでしょう。
手口3:同報メールの細工した手口
攻撃者が用意したメールアドレスを、同報メール(Cc)の宛先に紛れ込ませ、あたかも複数の関係者へメール送信しているように見せかけるという手口も存在します。この場合、ターゲットのやり取りを傍受しながら、より自然なタイミングで詐欺メールを送り付ける事が可能です。
また、攻撃者が送る詐欺メールは、同報メールアドレスを手口1で紹介したように部分的に改変することで、関係者に対して同報されているメールのように錯覚させながらも、実際にはターゲットだけにメールが届くように細工されるという手口です。関係者にも共有されているから問題ないと思い込みから不正送金に誘導する手口です。
手口4:関係性を利用したなりすまし手口
メールアドレスを悪用するという点では共通ですが、社外の取引先や、社内の経営者になりすまし、その立場を利用して騙そうとするケースもあります。ターゲットが立場上弱い状況であった場合、命令を聞かないことで自分が不利になるという心理上の弱点に付け込んだ悪質な手口です。不正送金だけでなく機密情報を提供してしまったりすることも考えられます。
まずは全てを疑うこと
このようにビジネスメール詐欺は電子メールを使った手口であり、アカウントの詐称や乗っ取りに関しては技術的な知識を要しますが、人間の心理や弱点を巧みに利用している点は「詐欺行為」そのものと言えるでしょう。ですので、先に紹介した標的型攻撃、内部不正、ソーシャルエンジニアリング、サプライチェーンなど、他の要素も関連し、攻撃者も何とかして騙そうとしてくることを念頭に置く事が大切です。
被害事例の紹介
次にビジネスメール詐欺での実際の被害事例をご紹介します。
事例1:企業を狙った典型的なビジネスメール詐欺被害事例
- ターゲットと取引先のメールを盗聴しやり取りに割り込む。
- 取引先になりすまし「料金の振込先の口座が変更された」と偽の口座を記載したメールを送信。
- ターゲットは指示通りに口座に振り込み回収不能となった。
2017年に国内企業の事例で約3億8000万円の被害が発生しました。ポイントとして2点あります。
1点目は本物のメールのやり取りに割り込んだこと、そして正規の取引先からPDF請求書が届いた直後に、「訂正版」と称した偽の請求書が送られてきたことです。担当者名も同じだったことから、メールの内容を盗み見たり、メールアカウントの乗っ取りが発生した可能性が高いとみられています。
2点目は担当者が見逃してしまう、信じ込んでしまうほど、大変巧妙に作りこまれたものであるということです。このような事例は未遂のものも含めると多くの企業でも報告されています。
事例2:新型コロナウイルス感染症の話題を含めた事例
新型コロナウイルス感染症の話題を利用し、主に以下のような手口が実例として公表されています。
- 取引先になりすました攻撃者が、「新型コロナウイルス感染症による影響のため、通常の取引手続きではない方法で支払ってほしい」と要求してくる。
- 「新型コロナウイルスの拡大に伴う検疫処置と警戒のため受取人口座の変更と、支払いの前倒しをしてほしい」と要求してくる。
- 「全ての請求書の支払い先について、通常の銀行口座が “コロナウイルス監査” により使用できなくなったため、異なる銀行へ変更してほしい」と要求。詐欺だと気付くまで、数回送金を行ってしまった。
海外では2020年にIC3、FBIが注意喚起を大々的に公表しました。また国内においても、サイバー情報共有イニシアティブ(J-CSIP)からも新型コロナウイルスの影響を利用して騙すパターンにおける注意喚起を行っています。
ビジネスメール詐欺が急増している背景とは
それではなぜビジネスメール詐欺被害が急増しているのでしょうか。2021年のアメリカにおけるネット犯罪の被害額は約69億ドルでした。その被害額の中で最も大きかったのが損失額約24億ドルに上ったビジネスメール詐欺被害でした。またアメリカのみならず全世界でビジネスメール詐欺被害が急増していると言われています。
急増の背景には新型コロナウイルス禍が長期化し、テレワークが世界的に普及したことがあげられます。専門機関の分析では、テレワークが普及しコミュニケーションが対面からオンラインにシフトしたことにより、電子メールを利用する機会が増えたことで、犯罪者がこの状況につけ込んでいると分析しています。
さらに電子メールではなく、オンライン会議の利用や、SNSによる情報発信も普及したことから、リモート会議のプラットフォームを悪用したり、ディープフェイク技術を悪用し経営者になりすます詐欺も増えています。専門機関の統計では、コロナ以前の2019年と2021年を比較すると、ビジネスメール詐欺の検出件数は約3.5倍と急増していることから、今後も被害が増加する可能性があり注意が必要です。
ビジネスメール詐欺対策
まず大前提としてビジネスメール詐欺は「詐欺」であるという事です。世の中には昔から詐欺という犯罪行為が存在しています。保険金詐欺、出資金詐欺、結婚詐欺、オレオレ詐欺等々です。時代に合わせて形は変えながら、人を欺く犯罪は無くなることはありません。
騙されてしまう場合の共通点として挙げられるのは、「まさか自分が騙されるとは思っていない」という点にあります。
すべてを疑い出したら切りがありませんが、ビジネスメール詐欺の気を付けるポイントを対策方法としてご紹介します。
対策1:アカウントを適切に管理する
ビジネスメール詐欺を防ぐためには、メールを傍受されないこと、メールアカウントを不正に乗っ取られないことが基本的な対策です。現代におけるメールサービスはクラウド型のものがメインとなります。
パスワードの複雑性なども重要ですが、認証をパスワード一択に委ねるのはリスクが高いといえます。パスワード以外の要素を組み合わせる多要素認証や、ログインできる端末を限定するなどデバイス管理を厳格に行うことも有効な対策の一つでしょう。
対策2:OSやセキュリティ対策ソフトを最新の状態に保つ
メールアカウントの不正な乗っ取りには、マルウェア感染が原因となることがあります。基本的な感染対策として使用しているパソコンやスマートフォンのOSや、セキュリティ対策ソフトは、常に最新の状態にアップデートしておきましょう。 すべての端末に自動更新を設定しておけば、端末によってバージョンが異なる事態がなくなります。
対策3:メールの宛先、内容の確認を徹底する
メールの宛先や内容の確認を徹底することも有効的な対策です。メールの宛先に怪しいドメインは無いか、文面や日本語におかしなところはないか、送信元のメールアドレスは正しいかを確認しましょう。
また社内などのやり取りにおいてはメールを使わず専用のグループウェアを用いることで真正性を担保できます。また社外とのやり取りで、添付ファイルはメールへの直接添付ではなく、ファイル転送サービスを利用することも有効です。
最近のファイル転送サービスは企業利用における認証機能も充実しています。メールだけに依存するよりも、このように認証、認可されたツールを併用することで信頼性を高める事ができるでしょう。
対策4:従業員に限らず企業全体でリテラシーの向上に取り組む
不審なメールを受け取った時、一人一人の意識が無ければはアクションを取ることができません。まず従業員へ対してビジネスメール詐欺の手口をしっかりと周知する必要があるでしょう。そのうえで情報セキュリティのリテラシー向上を目的とし、定期的な教育や啓蒙活動は、企業全体で取り組むべき課題と言えるでしょう。
メールを悪用したその他のサイバー攻撃
今回ご紹介したビジネスメール詐欺以外にも、メールを悪用したサイバー攻撃や、メールに添付されたファイルが感染源となるマルウェアが存在します。ここでは代表的なものを3つ紹介します。
その1:ランサムウェア
ランサムウェアとは、感染したパソコンをロックしたり、データを暗号化したりすることによって使用不能状態にし、元に戻すことと引き換えに「身代金」を要求するマルウェアです。
ランサムウェア本体を直接メールに添付して感染させるばらまき型の手法や、攻撃者が標的組織の内部ネットワークに侵入し、情報窃取を行い、攻撃の最終段階でランサムウェアを展開する、標的型攻撃の手法があります。
その2:Emotet(エモテット)
感染したデバイスにマルウェアを侵入させる、トロイの木馬型マルウェアです。メールに添付されたファイルを実行することで感染します。ばらまきメールの巧妙さから一般的なマルウェアよりも感染しやすく、ウィルス対策ソフトの検知をすり抜けるケースもあり、近年世界中で被害が急増しています。
その3:フィッシング
偽のメールから偽のホームページに誘導し、クレジットカード番号、アカウント情報などといった重要な個人情報を盗み出す詐欺行為です。企業のみならず個人を対象に狙われ、実際の被害も報告されています。
最近では、電子メールの送信者名を詐称、もっともらしい文面、緊急を装う文面、接続先の偽のWebサイトも巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。
まとめ
今回はビジネスメール詐欺について解説いたしましたが、以前にそのようなメールを受け取ったことがあったとハッとする方もいらしたのではないでしょうか。
実際に、筆者も何度かビジネスメール詐欺の巧妙なメールを受け取ったことがあります。
かなり昔に実取引がった企業から突然請求書が添付されたメールが届き、宛名も知っている担当者の方からだったので、添付されたPDFファイルを開いてしまいそうになりました。
ビジネスメール詐欺の場合、添付ファイルにマクロが組まれているようなことは少ないので、開いてしまうこと事態は問題ない可能性が高いのですが、マルウェアなどのサイバー攻撃についても注意が必要なため、添付ファイルを安易に開いてしまうことは避けたいところです。
なによりも危機感を覚えたのはメールの内容が巧妙で、普段から注意していた自分自身すら知っている取引先からのメールだということもあり、添付ファイルを開いてしまいそうになってしまったということです。
メールを媒介にしたサイバー攻撃は、ランサムウェアや標的型攻撃メールなどのように猛威をふるい続けています。最も大切なのは、社員1人1人のリテラシーを向上することでもありますが、技術的な対策により防げる攻撃もあります。
技術的なサイバー攻撃対策を検討する際には、専門家にご相談されることをおすすめいたします。
貴社の環境などを詳細にヒアリングしてくれて、最適なツールや機器を提案してくれますので、過剰な機能の機器や、高額なツールの押し売りをされることもありません。
わからないことは質問することを心がけ、腑に落ちるまできちんと説明してくれるような丁寧なベンダーを選定することが重要なポイントです。
日々、そのようなご相談をいただき、IT環境やご予算をヒアリングさせていただいた上で、最適なプランを提案しているのが、ITボランチです。
ITボランチは特定のメーカーの機器やツールを販売するようなベンダーと違い、提供するのは貴社のIT環境を保守・運用するためのサポートをするサービスです。
ご要望により機器やソフトウェアのご提案もいたしますが、特定のメーカーに依存せず、貴社のご予算や必要な機能に合ったスペックの機器をメーカー問わず、最適なものをご提案いたします。
貴社の本来の業務をとめないためのITサポートを全力で取り組ませていただきます。
