企業がだまされる「ビジネスメール詐欺」を防ぐポイント

日本航空は約3億8000万円がだまし取られた

カテゴリ:ビジネス

  • スカイマークは担当者が気付き実害は免れる
  • サイバー攻撃と詐欺のテクニックの組み合わせ
  • 一人一人が手口を理解し「怪しさ」を見抜け

日本の企業を狙った「ビジネスメール詐欺」が相次いで発覚している。

日本航空は、2017年7から9月に取引先の担当者を装ったメールで指定された香港の銀行口座に送金し、航空機1機と3ヵ月分のリース料、貨物業務の委託料、あわせて約3億8000万円をだまし取られた。

一方、スカイマークは2016年6月、実在する取引先と担当者をかたったメールが送りつけられ、約40万円を指定された口座に振り込んだが、口座が凍結されていたため、実害は免れた。2017年10月にも別の取引先をかたり、約200万円を請求するメールが届いたが、担当者が気付いたという。

高齢者を狙う「振り込め詐欺」は以前から大きな問題になっているが、なぜ情報リテラシーや防犯意識がずっと高いはずの企業もだまされてしまうのだろうか。

メールに依存した点を逆手にとった手口

これらの詐欺行為は「ビジネスメール詐欺」や、Business E-mail Compromiseを略した「BEC」などと呼ばれ、独立行政法人情報処理推進機構は今年4月に「ビジネスメール詐欺」に関するレポートを公開し注意を呼び掛けている。

どういった手口で企業をだましているのか?私たちにできる対策はないのか?

独立行政法人情報処理推進機構セキュリティセンターの松坂志さんに聞いた。

そもそも、ビジネスメール詐欺とはどういった詐欺なのだろうか。松坂さんは「企業を対象とした振り込め詐欺のようなものですが、企業間のビジネスがメールに依存している点を逆手にとった巧妙な手口。『このような詐欺の手法がある』と事前に知らない限り、なかなか見抜きにくい、巧妙な攻撃」と指摘する。

電子メールは、実際には悪意のある者によって「なりすまし」(詐称)やウイルス、不正アクセスによる盗聴をされてしまう可能性のあるものだ。ビジネスメール詐欺では、サイバー攻撃の手口と、人を欺く詐欺のテクニックを組み合わせて、偽の口座に振り込みをさせるという詐欺を行っているという。

例えば、こういった手口があるようだ。

A社がB社から物品を購入して納品が終わり、A社が支払いをしようという状況の時。それまでのやり取りはメールで行っていたが、B社になりすました犯罪者から「振込先の口座が変わった」とA社にメールが届き、何らかの方法で犯罪者がメールを盗み見て、送金のタイミングで割り込んでくる手口。

「メールが盗み見られている原因としては、ウイルスや不正アクセスといったことが考えられます。紹介した事例の偽メールは、B社によく似た偽のメールアドレスが使われていました。しかし、画面表示だけをごまかすこともでき、偽のメールアドレスではなくてもメールアカウントを乗っ取れば、その人に完全になり代わって送受信ができる。メールアドレスが不自然であれば注意すべきですが、見た目だけでは判別できない可能性もあります」(松坂さん)

他企業との取引、財務・経理の方は注意

ビジネスメール詐欺は、企業を対象にした振り込め詐欺のようなもの。
自分には関係のないことと思ってしまいがちだが、知らない間にそういったメールを受信していることがあるのだろうか。

「ビジネスメール詐欺は、一度に大きな金額の移動があるため、企業を中心に狙っていると考えられます。企業に勤めている方で、他企業との取引を行っている方や、財務・経理に関わっている方は特に注意をしてください」(松坂さん)

こういった詐欺の準備段階には、社内の情報を収集する目的で、ウイルスメールやフィッシングメールが無差別に送られる可能性もあるようだ。そのため、誰もが攻撃の対象となりうると考えられる。知財や個人情報が窃取される標的型サイバー攻撃と同様だという。

「企業に勤めていない方でも、ネット上の“なりすまし”と“詐欺”は身近な問題です。最近では、ウイルスメールが法人、個人に関係なく国内に大量にばらまかれる事案が発生しています。ビジネスメール詐欺とは異なりますが、偽メールにだまされた場合には、金銭的なものを含めて、大きな被害につながる可能性があるので、注意してください」(松坂さん)

「おかしい」と感じたら確認

個人は個人として気を付けなければならないが、企業がとるべき対策にはどのようなものがあるのか。

松坂さんは「いわゆる“振り込め詐欺”と同様に、このような詐欺の手口があることを広く知っていただくことが重要」と言う。

「日常のビジネスでは、やりとりしているメールがすべて読まれていることや、途中から偽物が割り込んで詐欺を仕掛けてくる、といったことは思いもよらないかもしれません。しかし、ウイルスや不正アクセスの手法で、現実に可能となり実際の被害が出ています。不自然だと感じた場合は、メール以外の手段で本物か否かを確認してください。相手の口座の変更などが発生したら、送金する前にビジネスメール詐欺がありうるという認識を持ち、社内のルールでチェックを行う体制にすべきです」(松坂さん)

また、セキュリティは多層防御という考え方が重要で、1つの対策だけではなく、複数の対策で守っていく必要があるという。社内の送金先のチェック体制や個人が「おかしい」と感じた時に確認を行うことで、社内一人一人が防御層の一部になる。

「ビジネスメール詐欺では、何らかのウイルスや不正アクセスも原因となっている可能性があります。ウイルス対策やソフトの導入、ソフトウェアを最新の状態にする、ID・パスワードを複雑なものに設定して、フィッシングサイト(偽サイト)等で入力しないように注意する、といった基本的なセキュリティ対策も、もちろん重要です」(松坂さん)

企業間のビジネスでメールでのやりとりが主流になっている今、受け取ったメールに違和感を抱いた時に「もしかしたら…」とビジネスメール詐欺を疑うことで防げることがあるかもしれない。

(執筆: editors room)