現在、多くのメールサービスでは、明らかな詐欺メールを「迷惑フォルダ」に自動的に仕分けする機能が搭載されています。しかし、特定のターゲットを狙ったビジネス分野における高度な詐欺メールが近年猛威を振るっています。テレワークなどで、オンラインでのコミュニケーションが増えている今、より一層の注意が必要です。

BECとは何か

ビジネスメール詐欺は、「Business Email Compromise」の頭文字を取って「BEC」と呼ばれています。大企業など、多額の現金を動かせる企業に狙いを定め、開示情報を収集してハッキングし、内通者を募るなどの手法で情報を集めて、最後にメールや電話などで送金させる、という知的で高度な詐欺です。

アメリカのFBIによって刊行された、2018年のインターネット犯罪レポート (2018 Internet Crime Report)によると、2018年はインターネット犯罪全体による被害件数は前年比14.3%増加の35万件、そして被害額は90.8%増加の27億ドルです。そして、BECと個人向けのEメールアカウント詐欺を合計すると13億ドルとなり、インターネット犯罪の約半分はEメール関連の詐欺ということになります。

過去にあったいわゆるメール詐欺とのBECの違いは以下となります。

  一般的なメール詐欺 ビジネスメール詐欺 (BEC)
ターゲット層 不特定多数の個人・企業 特定の企業
具体的なターゲット 過去に漏えいしたメールアドレス一覧などから無作為に実施 企業内で決裁権がある人物、銀行振り込みなどの送金手続きを行う人物、取引先企業担当者
準備期間 数時間~数週間 数ヶ月~数年
1件あたりの被害額 数千円~数十万円 数百万円~数十億円

BECのターゲットと手口

一般的なメール詐欺の場合は、不特定多数の個人を対象に、過去に漏えいしたメールアドレスのリストを購入し、このリストに対して詐欺の文面を何万通、何十万通、何百万通と送ります。メールを1通送信するコストは限りなくゼロに近いため、「下手な鉄砲、数打ちゃ当たる」のアプローチです。

これに対してBECは、特定の企業の「決裁権がある人」または、「銀行振り込みなどの送金手続きを行う人」または、その両方を狙います。取引先を模して、多額の現金を送金させるために、「決裁者」「送金担当者」「取引先名」などを把握し、少なくとも数ヶ月、長い場合は数年という準備期間をかけることもあります。EmailセキュリティベンダーのAVANANは、「BECとは何か?」というブログで解説しています。

1. ターゲットを特定する

BECの対象になるのは国際的な大企業だけではありません。地方にある中小企業や地方自治体、学校などの教育機関もターゲットとなり得ます。会社のホームページやLinkedInなどで、「決裁者」「送金担当者」の情報、そして従業員の情報を読み解きます。その他にも、ソーシャルメディアアカウントの情報やブログ投稿の情報、また公開されている画像などからもヒントを探します。

2. Eメールアカウントのハッキング

攻撃対象が決まると、あらゆる方法でメール攻撃を行います。この中には、ソーシャルエンジニアリング(なりすまし詐欺)、フィッシング、マルウェア、キーボード入力ログの入手、ブルートフォース攻撃(総当たり攻撃)などが含まれます。ゴールは、「決裁者」「送金担当者」のメールアカウントのパスワードを入手することです。

3. ドメインと表示名のなりすまし

会社のメールサーバにアクセスできなかったり、「決裁者」「送金担当者」のメールアドレスをハッキングできなくても、似た名前を使って詐欺を成功させる場合もあります。
例えば、決裁者のメールアドレスが「michael.smith@globalsign.com」である場合、下記のようなアドレスであれば決裁者からのメールと誤認させることができます。

小文字のLを大文字のIに変更
※小文字のLを大文字のIに変更

このような違いは、一目見るだけでは判別できないだけでなく、スマートフォンでメールを受信した場合などは、メールアドレス全てが表示されないこともあるため、攻撃者に悪用されています。

4. 潜在的な被害者の監視

潜在的な被害者とは、なりすましの「決裁者」や「送金担当者」の指示に従い、送金手続きを行ってしまう従業員を指します。送金手続きを行う従業員が普段どのようなスケジュールで、誰とどのようにコミュニケーションして、どのように指示を受け取り、確認をして送金を行っているかを盗聴されている可能性があります。

5. 詐欺の実行

BEC詐欺を実施する際は、[緊急] [要請] [重要] といったキーワードを含むメールや送金レポートを作成し、指示に従わない場合の危機感をあおる内容を送ってきます。そして、すぐに「決裁者」や「送金担当者」に確認できないようにするために、彼らが休暇中や不在といったタイミングを狙って送金させるよう、偽の指示を行うのが一般的です。ダブルチェックによる不正を防ぐ機会をできるだけ少なくするのも、詐欺を成功させるテクニックです。

BECの1件あたりの被害額

一般的なメール詐欺は、安い場合だと数十ドル(数千円)程度で、高額な場合でも数千ドル(数十万円)程度の被害額で収まることが大半ですが、BECの場合は桁が変わってきます。以下には被害額が特に大きなものをリストアップしました。

時期 企業名 本社所在地 被害額
2015年6月 Ubiquiti アメリカ 51.1億円
2017年9月 日本航空 日本 3.6億円
2018年4月 キャタピラー アメリカ 12億円
2018年秋 Tecnimont イタリア 20.3億円
2019年8月 トヨタ紡績 日本 40億円

数十億円規模の金額でも騙された事例があることから、どれだけ高度な詐欺が行われていて、どんな取引にも油断できないことがわかります。

BECを防ぐ方法

こうしたBEC詐欺を防ぐための方法を見ていきましょう。

1. メールアドレスやドメインが正しいか確認する

ぱっと見て正しそうに見えるメールアドレスが、本当に正しいかどうか確認しましょう。メールアドレスをコピー&ペーストして、拡大するなどして確認するとわかりやすいですが、 S/MIMEというメール用の電子証明書を使うと、メール自体を暗号化し、なおかつ視覚的に本人からのメールであるとわかるようにマークで認識することができます。メールクライアントで確認すると「署名がない」、または「署名は無効であるか信頼されていません」と表示されるものは疑うことで、詐欺を未然に防ぐことができます。

2. 不審な添付ファイルを開かない

悪意のある添付ファイルを不用意に開くと、メールアドレスが乗っ取られたり、社内にウイルスをばら撒くなどの被害が生じ、BECが成功する土台を作ってしまいます。添付ファイルはウイルスが含まれていないかをスキャンするなどし、送信元や文面などをよく確認する必要があります。また請求書偽造の9割はPDFとなるため、作成日付や作成者を確認でき、改ざんがされてない正式な文書であることを証明するための電子署名を利用することが有効な対策になります。

3. フリーメールを使わない

会社のドメインであっても偽装されるリスクがある中、ビジネスでフリーメールを使うのはそれ以前の問題です。自身がフリーメールを利用すると、攻撃者は簡単にメールアドレスを偽装できるため、社内や取引先を誤認させかねません。自社のメールアドレスを取得、利用しましょう。

4. オンライン上の情報を精査する

FacebookやLinkedinなどで姓名を公開したうえで、自身の会社や役職を公開することは相手に個人情報を公開している状態になります。例えば、自分はABC株式会社の経理部門で、経理事務マネージャーを担当しているといった内容がプロフィールに登録されている場合、攻撃者の格好のターゲットとなりえるのです。とはいえ、ソーシャルメディアを全く使用しないのも難しいのが現状です。よって、友人だけに公開制限をかけたり、仕事内容の詳細は表示しないなどの対策が必要です。

まとめ

BECは単に詐欺を行う加害者と被害にあう企業という構造ではなく、知らないうちに自社が詐欺に加担させられている場合もあります。騙されないようご紹介したような防止策もありますが、属人的な対策には限界があるため、なりすまされないための仕組みづくりも重要です。

トピック関連記事

#

2019年03月14日

PDF署名検証における脆弱性の危険

#

2020年08月17日

事例から考える、テレワークにおける不正アクセス防止対策

#

2015年09月01日

今だからこそ重要なフィッシングサイトの見分け方

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。