インターネットの発達にともない「サイバー攻撃」という言葉を耳にする機会が増えました。
サイバー攻撃にはさまざまな種類がありますが、普段メールでのやりとりをよくするという方は「ビジネスメール詐欺(BEC)」に要注意です。
BECとは、社内の人間や取引先などをよそおって金銭や機密情報をだまし取る詐欺メールのことです。
BECの被害は、海外だけでなく日本国内においても確認されています。BECの仕組みやBECの被害を防ぐ対策をご紹介します。
ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(BEC)とは「Business E-mail Compromise」の略称で、同僚や上司、取引先などをよそおって嘘の請求書などを送り、金銭や機密情報などをだまし取る詐欺メールのことです。
BECは、詐欺メールの信憑性を高めるために、業務用メールなどで従業員の個人情報などを窃取し、企業内の人間関係や進行中のプロジェクトを把握します。
あまりにも綿密に計画された手口のため、従業員も詐欺と気づかず、詐欺取引に応じてしまうケースが多いのです。
米連邦捜査局 (FBI)によると、2013年10月から2016年6月までのBEC被害総額は約3245億円に達し、年々被害が拡大していることが明らかにされました。
日本では、2018年7月IPA(独立行政法人情報処理推進機構)によって初めて日本語のBECメールが確認されています。
海外との取引がない国内企業においてもBECの被害にあう可能性が高まっていると言われています。
ビジネスメール詐欺(BEC)の仕組み
BECは詐欺メールが送られる前から計画が進行しているのが特徴です。
BECの被害を防ぐためにも、BECの仕組みを知っておきましょう。
情報を収集する
まず、BECの攻撃者は詐欺メールを送るための下準備として情報を収集します。
業務用メールを盗み見たりインターネット上の企業情報を収集したりして、標的企業の人間関係や進行中のプロジェクトを把握するのです。
業務用メールの盗み見には、主にフィッシング詐欺やキーロガーの手法がとられます。
フィッシング詐欺とは、偽のWEBサイトなどに誘導し、当該サイトで入力した情報をだまし取る詐欺です。
BECにおいては、偽のグループウェアなどに誘導し、社員IDやパスワードなどを窃取します。
キーロガーとは、コンピュータへのキー入力を記録するプログラムのことです。
キー入力されたデータを解析することで、IDやパスワード、メールの内容などを盗み取ります。
なりすましメールを送り金銭や機密情報をだまし取る
事前に盗み取った情報をもとに、攻撃者はなりすましメールを送りつけてきます。
BECメールのタイプには、以下があります。
- 取引先の担当者になりすまし、偽の請求書を送ったり取引口座の変更を申し出たりして金銭をだまし取る
- 経営幹部になりすまし、偽の振込先に振り込ませる
- 社用メールを乗っ取り、取引先などに対して詐欺メールを送る
- 弁護士など社外の権威ある第三者になりすまし「経営者からの指示があった」などと偽って振り込ませる
- 経営者や人事担当者になりすまし、従業員の個人情報などを送らせる
いずれのメールでも「緊急」や「極秘」という言葉を使ったり、実際の担当者名や経営幹部の名前を出したりすることで、本物のメールであると思わせます。
消息を絶つ
なりすましメールによって金銭や機密情報をだまし取ったあとは、攻撃者は完全に消息を絶ちます。
メールを受けた人が詐欺だと気付いたときには、すでに口座から全額が引き出されていたり、連絡がつかなくなったりするなど手遅れになってしまいます。
BECの被害が起こる原因
BECの被害が起きる原因は主に以下のとおりです。
- 実在する人物からのメールで不信感を持ちにくい
- 緊急性・極秘性を訴え、冷静な判断をする時間を与えない
- 「自分の会社は詐欺に遭うことはない」という油断した気持ちにつけこむ
BECの攻撃者は、綿密な準備と情報収集したうえで攻撃してくるため、メールを受け取った担当者は不信感を持つことがありません。
そのうえ「緊急」「極秘」などの言葉を巧みに使い、メールを受け取った担当者が緊急性のある案件としていち早く処理をしようとする心理を利用します。
担当者は冷静な判断をする時間を奪われ、被害を受けてしまうのです。
特に中小企業では「自分たちはサイバー攻撃にあうことはないだろう」と思っている人が多く、その心理をついてBEC攻撃をしかけてきます。
このような原因が重なり、BEC被害は起こってしまうのです。
BEC被害を受けたらどうなるか
BECを被害を受けた場合、以下の2つの展開が予想されます。
- 金銭的被害により会社経営に支障が出る
- 信用問題へと発展し会社経営に支障が出る
1点目の展開は、金銭をだまし取られたことによって金銭的損害を被り、経営に支障が出るパターンです。
2017年には、大手航空会社の日本航空 (JAL)が被害総額3億8000万円にのぼるBEC攻撃を受けたことを発表しました。
これほどの大きな額を窃取されてしまえば、会社経営に支障が出る可能性は大いにあります。
2点目の展開は、BEC攻撃を受けることで会社のセキュリティレベルが問われ、会社の信用が低下するというものです。
また、社用メールが乗っ取られて取引先に詐欺メールを送るといった事態が起きた場合、取引先にも迷惑をかけることになります。
BEC攻撃を許すセキュリティの低い会社との取引を避けたいと考えるのは当然のことでしょう。
信頼を失ったり、大規模な情報漏洩などが起きてしまうと最悪の場合、倒産するリスクもあります。
BEC対策の方法
メールの中の小さな違和感に気付くことで、BECの被害を未然に防ぐことができます。
BECのことを頭に入れ、細心の注意を払い適切なBEC対策をおこないましょう。
口座の変更依頼メールは二重チェックをおこなう
BECは緊急性を促すような件名や文面でメールを送り付け、早急に入金を促そうとします。
そのため、送金指示関連のメールに関しては即決せず、電話などでメール送信者と連絡を取り、メール内容について必ず確認しましょう。
送金指示があった場合の対応についてマニュアル化し、必ず二重チェックをおこなうなど正しい判断ができる環境を構築することが大切です。
電子署名を付与する
最近では、取引先とのやり取りをメールではなく、ビジネスチャットなどでおこなう企業も増えています。
ビジネスチャットでやりとりをしている場合、相手を取引先担当者であると信じて疑わないことが多く、BECによって大きな金銭的被害を受ける可能性があります。
ビジネスチャットでやりとりをしている場合、電子署名システムを活用する方法がおすすめです。
仮に、相手のチャットアカウントが乗っ取られていたとしても、電子署名の有無で本物かどうかを確認できます。
もちろん、メールでやりとりをしている場合も有効な手段です。
偽装された送信者のドメインをチェックする
BECでは通常、標的とする企業のドメインに似たドメインを登録して利用しています。
例えば、ドメイン中のアルファベットを一文字変える、一見しただけではわからない程度につづりを少し変えるといった方法です。
送金指示関連のメールが届いたら、まず送信者のドメインをチェックすることを癖づけましょう。
類似ドメインを定期的に調査する
送られてきたメールのドメインをチェックするだけでなく、定期的に類似ドメインが取得されていないか調査することをおすすめします。
類似ドメインが確認できた場合は、社員に注意喚起するなどして警戒レベルを引き上げましょう。
類似ドメインの調査はフィッシング詐欺対策としても有効です。
メールに添付されたURL・ファイルは不用意に開かない
メールに添付されたURL・ファイルは不用意に開かないようにしましょう。
URLやファイルを開くことで、コンピュータウイルスに感染する可能性があります。
コンピュータウイルスに感染すると、BECの下準備として社内の人間関係やプロジェクト情報などを抜き取られてしまいます。
仮に、取引先や経営幹部からのメールであったとしても、メール内に違和感を感じたらURLやファイルをクリックするのは避けたほうが安全です。
万が一、怪しいURLやファイルをクリックしてしまったら、ウイルス対策ソフトでスキャンしたりインターネット接続を解除したりして被害が広がらないようにしましょう。
不自然な表記のメールに注意する
件名やメール本文に不自然な表記がないか注意しましょう。
- 日本語の文法がおかしい
- 不自然な表現や言い回しを使っている
- 「w→vv」「0(ゼロ)→o(オー)」になっている
上記のような表記は、目視で確認できます。
特に、送金指示があった場合は違和感がないかよく目をこらして確認しましょう。
ビジネスメール詐欺(BEC)対策をしよう
BECを防ぐには、BECの手口やBEC対策を社内で共有することが大切です。
冷静さを欠いてしまうとBECの被害に遭う可能性が高くなります。
「自分たちは被害に遭うことはないだろう」と油断せずに、BECをはじめとしたサイバー攻撃の可能性を常に頭の片隅に置いておきましょう。
また、BECは実在の人物になりすますなど巧妙な手口であるため、意識だけでは防ぎきれない部分もありまので、普段からセキュリティレベルの高いツールを使用することも効果的です。
オンラインストレージのセキュアSAMBAは、通信の暗号化、アクセス権限、二段階認証などBECをはじめとしたサイバー攻撃にも耐えうる強固なセキュリティを築いています。
安全なデータ保存先をお探しの方は、ぜひセキュアSAMBAの導入をご検討ください。
