経営幹部や取引先の実在する人物などになりすまして送金指示メールを従業員に送りつけ、サイバー犯罪者が用意した口座に送金させるビジネスメール詐欺が企業や団体に多額の損失をもたらす大きな脅威になっています。勤務先を金銭被害に巻き込まないようビジネスメール詐欺の手口と対策を押さえておきましょう。

上司や取引先などになりすましてメールで業務指示を装いサイバー犯罪者の用意した口座に送金をさせるビジネスメール詐欺（BEC：Business E-mail Compromise）の被害が深刻です。2017年5月の米連邦捜査局（FBI）の発表では、2013年10月から 2016年12月におけるBECの被害総額は約53億米ドル（2017年9月11日執筆時のレート換算で約5,746億円）に上りました。実際、国内でも被害が見られ、トレンドマイクロは2016年上半期だけで200以上の日本企業がBEC関連の攻撃メールを受信していたことを確認しています。企業に高額の金銭被害をもたらすBECの手口について詳しく見ていきましょう。

トレンドマイクロは BECを「業務メールの盗み見を発端とした送金詐欺や情報詐取の総称」と定義しており、次のような代表的な騙しの手口を把握しています。

BECを行う犯罪者は、標的の業務メールを盗み見たうえでその情報をうまく利用し、標的の業務相手になりすまして被害者をだまします。メールを盗み見する方法は、さまざまな手口が考えられます。例えば、業務メールにクラウドサービスを利用している企業の場合には、フィッシングで標的のメールアカウント情報を盗み出し、その情報を使ってサービスにログインしてメールを盗み見します。ほかにも、標的の端末にキーロガーを感染させて、メールの内容を盗み見していたことも確認されています。

BECを行う犯罪者は標的を騙すために、盗み見したメールの情報を元に業務上関わる人物になりすましてメール連絡をしてきます。このときなりすましに多用されているのが、CEO（最高経営責任者）や社長です。「緊急」や「機密」といったメールで経営幹部から急ぎで内密に対応をしてほしいと指示を受ければ、何の疑いもなく素早く対応をしてしまうかも知れません。勤務先の経営幹部以外にも、取引先の担当者や弁護士などになりすましてメールを送ってくる手口もよく確認されています。

BECを行う犯罪者は、自身が用意した偽の口座に送金をさせるために、送金指示や振込先変更、請求書などの題目でメールを送ってきます。メールのやり取りを盗み見しているので、発注したものが納品された後などの送金が発生するタイミングでなりすましメールを送り付けます。そのため、被害者はよりいっそう送られてきた内容を信じてしまうことになるのです。

BECは、一度の成功で高額な金銭が得られるサイバー犯罪者にとって都合のよい手口の１つです。しかも、ランサムウェアや標的型サイバー攻撃とくらべれば、技術的には比較的シンプルな攻撃であり、攻撃の成否はどれだけ巧妙に標的をだませるかにかかっています。言い換えるならば、企業や組織内の1人1人が手口を理解し、セキュリティ意識を高めることで被害を防ぐ可能性を大きく高めることができます。