「ビジネスメール詐欺」は差し迫った脅威

ビジネスメール詐欺とは

ビジネスメール詐欺とは、取引先や自社の経営者層等になりすまして、偽の電子メールを送って入金を促す詐欺のことで、BEC(Business Email Compromise)とも呼ばれています。同種の詐欺は世界中で大きな被害をもたらしており、日本国内においても同種の手口による高額な被害が確認されています。

2018年7月に日本語のBECが確認される

独立行政法人 情報処理推進機構(IPA)によると、IPAへの情報提供は2015年11月~2018年7月に計17件あり、うち5件で金銭的な被害が確認されました。

 

BECは、以前から世界中の企業で脅威となっており、米連邦捜査局(FBI)の最新報告によれば、2018年5月までの累計損失額が125億3694万8299ドル(約1兆3825億円)でした。

 

そして、2018年7月にIPAとしては初めて、日本語のBECを確認されました。

 

 

事前に標的企業の情報を確認した上で担当者情報などを偽装

BECのメール受信者は財務、経理、会計などの実在する担当者であり、偽装された取引先などの個人情報も実在することなどから、事前に標的企業の情報を確認した上での攻撃であり、不特定多数にばらまいたものでは無いということです。

 

 

国内企業・組織がBECの攻撃対象となる状況に

BEC攻撃の背後には、世界的にBECを行っているサイバー犯罪者グループがあるものと考えられます。

世界的にBECを行うサイバー犯罪者グループの攻撃対象に日本が入っており、さらに詐欺メールに日本語を使用してきたことは明らかです。

 

 

ビジネスメール詐欺の事例と対策

標的型攻撃メールのやり口は巧妙で、一見しただけでは標的型攻撃とは判断できないようなメールを送り付けてきます。

正しいメールアドレスに偽装して外部や内部の人間になりすまし、やり取りを数回行うことでメール受信者を信用させておいてから、コンピュータウィルスなどの不正プログラムを送り付けてきます。

 

ビジネスメール詐欺でも、海外の取引先や自社の経営者層等になりすまして、巧妙に偽装した電子メールにより入金を促します。

 

システム管理者はこのような攻撃に備えて「不審なメールは開かないように!詳細は添付ファイルを見てください」と社内に通達を出しますが、そのメールさえも実は偽装された、外部からの攻撃であったりします。

 

 

出典:独立行政法人 情報処理推進機構(IPA)
出典:独立行政法人 情報処理推進機構(IPA)