日商 Assist Biz

更新

企業を襲うサイバー脅威 ビジネスメール詐欺

その請求メール、もしかしたら詐欺かも

今月は「ビジネスメール詐欺(BEC:Business E-mail Compromise)」と呼ばれる脅威について説明します。 ビジネスメール詐欺は、巧妙に細工したメールのやりとりにより、企業の担当者をだまし、攻撃者の用意した口座へ送金させる詐欺の手口です。海外のみならず、日本の企業を狙ったビジネスメール詐欺が急増し被害が発生しています。

2017年12月には、大手航空会社がこのビジネスメール詐欺の被害に遭った事件が報道で大きく取り上げられました。この事件では、同年7~9月に取引先の担当者を装ったメールで指定された香港の銀行口座に送金し、航空機のリース料や貨物業務の委託料、あわせて約3億8000万円をだまし取られました。いずれも、攻撃者は日頃やり取りしている取引先を装い、同社の担当者にメールを送っていました。同社によると、担当者は「送信元は通常やり取りしている取引先の名前とメールアドレスだったことと、その前に送られていた正規の請求書の『訂正版』として、振込先を偽の口座に変更したファイルが送られてきたため信じ込んでしまった」ということです。

ビジネスメール詐欺の攻撃者は、最終的には自身の口座へ送金させることが目的です。そのために、偽のメールアドレスを使うだけでなく、さまざまなだましの手口を駆使してきます。

取引先との請求書の偽装のほかにも、経営者などへのなりすまし、窃取メールアカウントの悪用、社外の権威ある第三者へのなりすましなどが行われることがあります。その他にも、さまざまな非常に悪質で巧妙な手口を使ってきます。

対策としては、まず相手の確認、そして内容の確認です。つまり、メールのやりとりをしている相手と、内容について事実であるかどうかを常に確認することが重要です。そして高額の送金指示の場合は、特に注意しなければなりません。この手口では、電子メールアカウントが乗っ取られて利用されている場合があります。そのため、電子メール以外の通信方法(電話、ショートメッセージ、チャットなど)による確認ができるようにしておくことも重要になります。

ビジネスメール詐欺はセキュリティー対策製品などでは見つけにくいため、技術的な対策だけでは被害を防ぐことは困難です。企業の一人一人、特にお金を扱う経理部門の担当者がこのような手口があることを理解し、慎重に業務を実施すること、つまり人的な対策が重要になるのです。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ人材育成業務を担当している。『IT現場のセキュリティ対策完全ガイド』(日経BP社)『情報セキュリティプロフェッショナル教科書』(アスキーメディアワークス、共著)など著書多数

次の記事

長谷川長一

偽セキュリティ警告は、PCやスマホでインターネットのウェブサイトを閲覧していると、「あなたのシステムは壊れています」「あなたは、ウイルスに感染しています」などの警告を…

前の記事

長谷川長一

今月は、「ワンクリック詐欺」と呼ばれる脅威について取り上げます。「ワンクリック詐欺」とは、PCやスマートフォンでアダルトサイトや出会い系サイトなどにアクセスすることで…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…