開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/07/20

巧妙に金銭をだまし取る「ビジネスメール詐欺(BEC)」の脅威、1度の被害額が数億円も

連載:サイバーセキュリティ最前線

インターネットを介した詐欺などのニュースを耳にしても「自分はそんな目には遭わない」と信じている方は多いと思います。しかし、残念なことに悪意と悪知恵に満ちあふれた犯罪者たちは、今、この瞬間にも、あの手この手を使って、皆さんの大切な情報や財産を奪い取ろうと画策しています。今回は、近年、大企業であっても多額の損害を受けた「ビジネスメール詐欺(BEC:Business E-mail Compromise)」について解説します。

S&J コンサルティング事業部 粟田 磨弥

S&J コンサルティング事業部 粟田 磨弥

短大卒業後、日系金融機関にて金融実務業務を学んだ後、米国留学を経て、コントラクターとして日系・外資系の金融機関を中心にシステム統合プロジェクト、J-SOX導入支援プロジェクト、日系企業の海外拠点における情報セキュリティ体制構築支援プロジェクトなどに参画する。さまざまなプロジェクトを通じて情報セキュリティの重要性を知り、以降は、国内外における情報セキュリティ体制の構築運用支援、BCP策定支援、危機管理対策支援、ISMS、ITSMS、Pマークの導入運用支援、従業員向け情報セキュリティ対策教育などを手がける。企業価値の向上を目標に、日々、情報セキュリティの普及活動に力を注いでいる。

S&J
サイバー攻撃対策システムの開発及び運用、サイバー攻撃監視やセキュリティ診断、コンサルティング、インシデント対応など、お客さまのニーズに応えることができる"最適なセキュリティサービス"を提供している。
https://www.sandj.co.jp/

画像
ビジネスメール詐欺(BEC)は、巧妙なメールで相手をだまして金銭を詐取する攻撃
(Photo/Getty Images)

ビジネスメール詐欺とは? 標的型攻撃との違いは?

 「ビジネスメール詐欺(BEC:Business Email Compromise)」とは、狙いを定めた企業に巧妙なメールを送り付け、従業員をだまして偽の口座にお金を振り込ませるなどにより、不正に金銭を奪い取る攻撃手法です。

 このような話をすると「それって、いわゆる標的型攻撃メールのことだよね。ウチの会社はウイルス対策ソフトを入れて、標的型攻撃メール訓練も行っているので大丈夫」と思う方もいるでしょう。

 しかし、残念ながらBECはコンピューターウイルスを使った攻撃ではないので、ウイルス対策ソフトを入れたり、標的型攻撃対策を行ったりしても安全とはかぎりません。

 多くの場合、標的型攻撃は企業などの重要情報を盗むことを目的としています。前回、ご紹介したランサムウェアを用いた攻撃では、情報を盗み、暗号化した上で企業をゆすって金銭を奪おうとします。一方、BECはだましの手口をふんだんに盛り込んだメールを送り付け、受け取った従業員を罠にはめることで企業から金銭を詐取します。

 やっかいなことに、BECは実際のメールのやり取りに巧妙に介入してくるため、メールをやり取りしている当事者が「本物のメール」だとだまされる恐れが高いのです。

 情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の2021年版でも、「BEC」は組織編の5位にランクインしています。2020年は3位、2019年は2位でしたので、ここ数年、企業を悩ませ続けている"常連の脅威"といえるでしょう。

画像
図1:情報セキュリティ10大脅威 2021
(出典:情報処理推進機構)


被害額は数億円!大手企業もだまされたBECの巧妙な手口

 ここからは、実際に日本の某大手企業が受けたBECの被害実例を紹介しながら、BECから身を守るには何が必要かと考えたいと思います。

 ある日、この会社の担当者は、海外の取引先である金融機関からメールを受信しました。本文は振込先口座の変更案内で、訂正版という形で請求書ファイルが添付されていました。

 メールの内容を確認したところ、送信元はいつもやり取りしている会社の担当者名とメールアドレスでした。請求書ファイルを確認したところ、今までの請求書ファイル形式と若干異なる点があったものの、訂正版であるとの説明があったため、担当者は取引先からのメールであると信じて疑わないままやり取りを続け、添付ファイルに記載されていた振込先口座に振り込みました。

 ところが、その後、本物の取引先である海外の金融機関から督促の依頼があったのです。「すでに支払いを済ませていた」と認識していた企業は驚き、改めて調査したところ、偽の振込口座に振り込んでいたことが判明したのです。

 その額は、実に数億円。いかに大手企業とはいえ、決して小さな金額ではありません。すぐに警察に被害届を出しましたが、振り込んだお金はすでに引き出されたあとでした。

 担当者が送信元メールアドレスや担当者名を確認したにもかかわらず、なぜこのようなことが起きてしまったのでしょうか。原因として考えられるのが「アカウント情報の盗難」です。

 攻撃者は、さまざまな手法でアカウント情報を詐取しようとします。たとえば、「○○システムが不調であるため再度ログインを行う必要があります」などと、いかにも会社の情報システム部からの重要連絡であるかのように装ったメールを、さまざまな企業に手当たり次第に送り付けます。そして、偽のログイン画面に誘い出し、情報を入力した人のアカウントを乗っ取るのです。

 いったんアカウントを乗っ取ればメールの盗聴もできるため、インターネット上で本人になりすますことも可能になります。アカウントの使用者が攻撃者だったとしても、アカウント自体は正規のものなので、システム側でそれを攻撃と見破ることは容易ではありません。

【次ページ】BECから身を守る有効な対策は? アナログのセキュリティ対策も効果的

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!