近年、“サイバー攻撃”という言葉をメディアで耳にするようになりました。日々、大量のビジネスメールがやり取りされる中、それらの隙間に入り込んで、取引先の経営者や営業担当者などを装って金銭をだまし取るサイバー攻撃の被害が海外だけでなく日本においても確認されています。BEC(ビジネスメール詐欺)とは何か、この記事で詳しく紹介していきます。
1.BEC(ビジネスメール詐欺)とは何か?
ビジネスメール詐欺(Business E-mail Compromise)とは日々ビジネスメールがやり取りされる中、それらの隙間に入り込んで、取引先の経営者や営業担当者などを装って金銭をだまし取るサイバー攻撃をさします。
これは、海外だけではなく、日本国内でも起こっています。攻撃者は詐欺行為を行う前に信憑性を高めるため、業務用メールなどで、従業員の個人情報などを窃取し、企業内の人間関係や進行中のプロジェクトを把握します。あまりにも綿密に計画された手口のため、従業員も詐欺と気づかず、詐欺取引に応じてしまうケースが多いのです。
2.いつ頃からBECが起こり始めたのか?
2016年6月に米連邦捜査局 (FBI)が発表した情報によると、2013年10月から2016年6月までの期間におけるBECによる被害総額は約3245億円に達し、年々被害が拡大していることが明らかにされました。日本では、2018年7月IPA(独立行政法人情報処理推進機構)によってはじめて日本語の詐欺メールが確認されました。BECの実被害が認識され始めたのは、2017年からだと言われています。日本では、海外との取引がない企業においても被害にあう可能性が近年高まっています。
3.なぜBECの被害が起こるのか
攻撃者は、綿密な準備と情報収集したうえで攻撃してくるため、担当者は不信感さえ持つことがありません。そのうえ「緊急」「極秘」などの言葉が巧みに使われているため、担当者が緊急性のある案件として、いち早く処理をしようとするため、冷静な判断ができず、被害を受けてしまうことが多いです。
特に中小企業では、“自分たちはサイバー攻撃にあうことはないだろう”と思っている人が多いですが、その心理をついてBECが攻撃してきます。
攻撃者は、業務用メールを事前に盗み見して標的に関する情報を得ます。
その際には、嘘のログインページを用意して従業員にアカウント情報を入力させるフィッシング詐欺やキーボード入力のデータを抜き取るキーロガーを行い、従業員の認証情報を盗み取ります。そして、経営幹部や取引先になりすまし、サイバー攻撃を行います。
4.BECの被害事例①
2017年12月大手航空会社の日本航空 (JAL)が被害総額3億8000万円にのぼるサイバー攻撃を受けたことを発表しました。この被害は、架空請求に対応してしまったことによって起こりました。その手口は、旅客機のリース代の支払先である海外の金融機関の担当者になりすまし、偽の請求書が日本航空に送られました。偽の請求書には、「振込先が香港の口座に変更された」と記載があり、日本航空の担当者は疑うことなく指定された口座に、3億6,000万円をリース代として振り込みました。同年8月には、米国にある貨物事業所に支払い口座が変更されたと記載された同様のメールが届きました。担当者は変更されたといわれる銀行口座に貨物の業務委託料として合計2,400万円を振り込みました。数日後には全額が口座から引き出されており、回収不可能となりました。
5.BECの被害事例②
2016年6月スカイマークに対しても取引先の担当者を名乗る人物から約40万円の請求メールが届きました。担当者は、振り込みを試みましたが、すでに口座が凍結されておりすぐに振り込みができませんでした。その後、担当者が取引先へ確認をしたところ、そのような事実はないことが分かり、実害は免れました。同年10月にも別の取引先を語り、偽のメールが届きましたが、担当者が気づいたため、被害には至りませんでした。
<関連記事>
違反事例に学ぶ! 企業が取り組むべきコンプライアンス対策
6.BECの対応策
BECは、巧妙な手口で日常のビジネスメールのやり取りに介入して攻撃してくるため、通常の対策ではなかなか防ぐことが困難です。
これに対処するには以下の様な、充分な対策が必要です。
・口座の変更依頼メールは二重チェックを行う
BECは常に緊急性を促すような件名や文面でメールを送り付け、担当者に早急に入金を促そうとします。送金指示関連のメールに関しては、特に注意しメールのやり取りをしている相手と内容について必ず確認をするようにしましょう。
・電子署名の付与
取引先とのやり取りもメールのみならず、チャットスペースなどで行われることも近年増えています。こういった場合、相手を取引先担当者であると信じて疑わないことが多い為、大きな金銭的被害につながることがあります。こういった手口には、請求書などに常に電子署名などを用いて、請求書が本物であることを証明するなどの対処が有効的です。
・偽装された送信者のドメインをチェックする
BECでは通常、標的とする企業のドメインに似たドメインを登録して利用しています。アルファベットの文字が一文字違うだけ又は、つづりを変えただけのドメインもあります。送金関連のメールが届いたら、まず送信者のドメインをチェックしましょう。
7.まとめ
ビジネスでIT化が進み、世界では様々なサイバー攻撃が行われていました。BECは今や世界で起こっているのではありません。日々私たちの周りでも攻撃のチャンスをうかがっています。知らないうちに企業のビジネスメールから重要な取引先情報などを盗み取り、担当者に成りすまして、多額の金銭を要求してきます。あまりにも手口が巧妙すぎて、なかなかBECであることを見破るのは困難ですが、先述した通り、チェックすることを習慣化することによって、防ぐことは可能です。社内で情報を共有しながら、企業内全体でBEC対策に臨みましょう。
