ビジネスメール詐欺(BEC)の事例や手口から学ぶべきポイントや対策方法
- INDEX
-
BECとはBusiness Email Compromiseの略称であり、ビジネスメール詐欺を意味します。ビジネスメール詐欺は上司や部下、同僚、取引先や顧客へのなりすまし、もしくは乗っ取ったメールアカウントからメールを送ることで、人を騙して詐欺行為を働く悪質な行為です。
決して騙される方が悪いということではありませんが、騙されることで所属する企業や組織のみならず、顧客や取引先に被害を与えることを考えると対策する必要があります。
今回はビジネスメール詐欺(BEC)の事例や手口、そしてビジネスメール詐欺(BEC)の事例から学ぶべきポイントや対策方法をご紹介します。
ビジネスメール詐欺(BEC)の事例や手口
はじめにビジネスメール詐欺(BEC)の事例や手口について簡単に説明します。
参照:IPA - ビジネスメール詐欺「BEC」に関する事例と注意喚起
上記のIPA(独立行政法人情報処理推進機構)によるビジネスメール詐欺のPDF資料を参考にしておりますので、お時間のある方はぜひとも合わせてご覧ください。
国内の企業を狙ったビジネスメール詐欺の事例
・請求に関連するメールを盗聴
・海外の請求する側になりすまして偽の口座を記載したメールを送信
・1回目が支払われないため、2回目の偽メールを送信
上記は日本国内の企業が支払う側、海外の企業が請求する側という関係において、何らかの形でメールを盗聴され、海外の請求する側の企業になりすまし、国内の企業に偽の口座を伝えて金銭を搾取しようとしたケースです。このケースでは1回目で支払う側が偽メールだと気が付いたため、2回目についても支払うことなく未然に防ぐことができました。
日本語の不自然な文章のなりすましメールと比べた場合、英語への理解が乏しいと簡単に騙されてしまいそうなケースと言えます。同時に盗聴された内容に合わせて偽のメールを送信されてしまえば、疑うことなく支払ってしまうことも考えられます。
国内企業の海外支社と海外の取引先を狙ったビジネスメール詐欺の事例
・請求に関するメールを盗聴
・請求する側と支払う側の両方の偽メールアドレスを作成
・双方の間に介入して偽のやりとりを行う
・支払う側の企業が偽の口座に入金してしまう
上記は国内企業の海外支社が請求する側、海外の取引先が支払う側という関係で、請求に関するメールを盗聴、偽のメールアドレスによって双方の間に介入して偽のやりとりをしたケースです。このケースでは海外取引先が偽の口座に入金してしまうという結果になりました。
海外での請求と支払いというケースであり、偽のメールアドレスに気が付くことができず、信じてメールのやりとりをしてしまったことがわかります。実際のやりとりを盗聴され、受け答えがしっかりとしていれば信じてしまう可能性が高くなるということを示していると言えます。
手口その1:メールアドレスを悪用して騙すタイプ
・似たようなメールアドレスを作成する
・本物のメールアカウントを乗っ取った上でなりすます
メールアドレスを悪用して騙すタイプとして、上記の2つが挙げられます。1つ目は似たようなメールアドレスを作成するために、わざわざドメインを取得します。2つ目は何らかの手段で本物のメールアカウントを乗っ取り、その上でなりすまします。
特に後者の場合は前後のメールの内容を把握しているだけでなく、関係性を理解している可能性もあることから、自然で疑いようがないメールを送られてしまうことで騙される可能性が高まります。
前者の場合はアドレス帳に未登録、または不自然なメールアドレスだと気が付くことができれば騙されないかもしれませんが、顧客や取引先の数が多ければ精査することもできず、日々の作業や業務の流れで応対してしまえば結果として騙されてしまいます。
手口その2:なりすましによって騙すタイプ
なりすましによって騙すタイプとして、社外や取引先の実在する関係者としてなりすまし、堂々と別のメールアドレスで騙そうとするケースがあります。立場の弱い人間にメールが届いてしまうことで誤って情報を提供してしまったり、または何らかの権限を渡してしまったりすることが考えられます。特に断れないタイプや強く言われると拒否できないタイプが騙されやすく、命令を聞かないことで自分の雇用や立場が悪くなると思い込んでしまうことが原因になるケースとも言えます。
手口その3:直接的な被害を与えないタイプ
ビジネスメール詐欺においては金銭を要求するようなタイプだけでなく、その他の詐欺に利用する下準備をするための詐欺が行われるケースもあります。例えば、メールでやりとりすることで企業内の担当や個人情報を集めて、次にその企業内に実在する従業員になりすまして他の従業員との関係性や個人情報を集めます。そしてその企業には直接的な被害を与えず、関連する企業や取引先にビジネスメール詐欺を行い金銭を搾取します。関連する企業や取引先は実在する従業員の情報を元にやりとりしてしまうことで、メッセージを信用するだけでなく、悪質なスクリプトやプログラムの含まれる添付ファイルを開いてしまうということです。
ビジネスメール詐欺(BEC)の事例から学ぶべきポイントや対策方法
次に、ビジネスメール詐欺(BEC)の事例から学ぶべきポイントや対策方法をご紹介します。
「自分だけは騙されない」という意識を捨てよう
ビジネスメール詐欺の事例では誰もが自分が騙されるとは思っていません。むしろ、自分だけは騙されないと思っている可能性が高いです。もちろん、安易に取引先や顧客に「詐欺ですか?」などと問い合わせることはできませんし、その都度、疑っていては業務に支障が出ます。だからこそ、常日頃から「自分だけは騙されない」という意識を捨てて、少しでも怪しい、不自然と感じたら周囲に相談するようにしましょう。
可能であれば「2つ以上の連絡先」を確保しておこう
メールアドレスの他に電話番号やSMS、もしくはチャットやアプリのツール、または代表番号など、2つ以上の連絡先を確保しておくことで、怪しい、不自然だと思った時に本人に確認できるようになります。ただし、偽のドメインを作成するタイプやメールアドレスに関係なくなりすましてくるタイプの場合は判別が付きにくいので、そういった場合は自分一人で判断せず、上司やセキュリティ担当に判断を仰ぐことをおすすめします。
システムやツールによる検知や通知を可能にしよう
ビジネスメール詐欺はメールのタイトルや本文によって騙されてしまうことがありますが、添付ファイルがマルウェアや悪質なスクリプトだと検知できれば事前に防ぐことができます。むしろ、メールアカウントを乗っ取り、なりすましをしてくるケースの場合、騙されていることに気が付かずに添付ファイルを開いてしまうので非常に危険です。マルウェアや悪質なスクリプトに関する最新情報を更新し、常に最新の情報に基づいた駆除や検知ができるシステムやツールを使うようにしましょう。
まとめ:システムや人間の隙を狙ってくることを忘れずに
今回はビジネスメール詐欺(BEC)の事例や手口、そしてビジネスメール詐欺(BEC)の事例から学ぶべきポイントや対策方法をご紹介しました。
ビジネスメール詐欺は業務手順や作業内容、ビジネスの流れや企業同士の関係性、従業員の周囲の情報など、あらゆる情報を悪用して騙そうとしてきます。日本の企業であれば偽の口座番号など見破ることはできるかもしれませんが、海外の場合は見破りにくいこともあります。同時に、メールアドレスが偽物、または本物、どちらの場合でも堂々となりすまされると気が付かないこともあるでしょう。
まずはマルウェアや悪質なスクリプトを検知するためのシステムを導入し、その上でセキュリティ担当や上司といつでも確認や相談できる体制と整えることで、顧客や取引先に迷惑を掛けないようスムーズに対処することをおすすめします。もし、既存のセキュリティソフトやツールでは心配、もしくはセキュリティツールを導入したいとお考えであれば、当社の提供する「AssetView」の利用をご検討ください。
マルウェア対策やウイルス対策に加えて、標的型攻撃対策、その他にもデバイスの遠隔操作による管理を備えております。遠隔によるOSやソフトウェアのアップデートも可能であり、テレワーク時の一元管理にも役立ちますので、ぜひともこの機会にご相談、お問い合わせください。