企業を標的にする「ビジネスメール詐欺」

Q 企業版振り込め詐欺といわれるビジネスメール詐欺がまん延していると聞きました。詐欺メールを判別するには、どんな点に注意すればよいでしょうか。(労働者派遣業)

<回答者>トレンドマイクロ セキュリティエバンジェリスト 山外一徳

A 最近話題のビジネスメール詐欺(Business Email Compromise以下BEC)とは、企業の経営幹部や取引先などになりすまし、金銭や特定の情報をだましとるサイバー犯罪を指します。被害件数は増加傾向にあり、2017年末、国内大手航空会社が取引先を装ったサイバー犯罪者に3億8,000万円をだましとられ、メディアで大きく報じられました。

 BECではさまざまな手口が想定されますが、これまでの被害事例から主な手口は2種類あることがわかっています。ひとつは経営幹部になりすまして、偽の送金指示メールを送る手口です。送金権限を持つ社員に対して企業のトップ、あるいは経営幹部をかたるサイバー犯罪者から金銭の振り込みを要請するメールが送られてきます。この手口は海外では「CEO詐欺」とも呼ばれています。もうひとつは取引先になりすまし、偽の請求書を送る手口です。業務委託先などを装い、振込先口座変更のお知らせ等を送信してきます。

 BECの特徴は、その巧妙さにあります。サイバー犯罪者は標的企業に勤務する従業員のメールアカウントを乗っ取ったり、企業サイトを閲覧したりして組織情報をあらかじめ収集し、ビジネスを装うメールを送ってきます。昨今はクラウドメールサービスを利用している企業が多数あるため、ID・パスワードを窃取して不正にログインし、メールを盗み見る事例が発生しています。また、自社だけでなく、取引先がハッキングされて情報を盗み見られるおそれもあるため注意が必要です。

社内ルールの重要性

 不審なメールを受信したとき、BECであるか否かを見極めるにはいくつかのポイントがあります。まずメールの「差出人」をしっかり確認するようにしてください。差出人名は送信者が自由に設定できるためBECでは、実在するCEOや経営幹部の氏名が表示されているにもかかわらず、メールアドレスのドメインが正規のものを模倣した偽ものになっている場合などがあります。

 緊急性を装う件名や内容が含まれるメールにも注意が必要です。「至急対応願います」とか「緊急のお願い」といった文言を頻繁に用いるのには、相手を動揺させる狙いがあります。過去には「署名」欄に記載された会社の電話番号を1字変更し、受信者が確認のために電話してもつながらないようにしてある例もありました。

 BECによる被害を食いとめるには送金の承認プロセスの明文化など、社内ルールを整備することが大切です。例えば一定の金額を上回る送金をする時、複数の担当者の承認を得るよう定めたり、取引先から受信した振込先口座変更依頼のメールに関しては、文書での通知や本人確認を必須にするとよいでしょう。社内ルールを整備した後、折にふれてBECの脅威について従業員に発信し、セキュリティーポリシーと社内ルールを周知するようにしてください。送金依頼などの不審なメールを受信したとき、従業員が連絡できる窓口を設けておくことも重要です。昨年日本語のBECが初めて確認され、影響は日本企業にもおよびつつあります。もちろん中小企業もBECの標的となっています。日ごろの備えを怠らないようにしてください。

提供:株式会社TKC(2019年8月)

(注) 当Q&Aの掲載内容は、個別の質問に対する回答であり、株式会社TKCは当Q&Aを参考にして発生した不利益や問題について何ら責任を負うものではありません。 

▲ 戻る