防犯のすゝめ

ビジネスメール詐欺から企業のお金を守るポイント

Eメールによる商取引はとても便利です。しかし、企業を狙ったビジネスメール詐欺(BEC)も世界中で横行しています。日本企業も例外ではありません。従業員を騙した不正な送金処理や情報の奪取など、さまざまな犯行が考えられます。そこで、ビジネスメール詐欺の全貌を見てみましょう。

手口の特徴は企業関係者になりすますこと

ビジネスメール詐欺は、企業の従業員を騙すために、誰かになりすますことが特徴です。たとえば、自社の経営者や経営幹部、取引先の担当者など、情報確認や入金依頼を行っても疑われにくい人を装います。

近年流行しているランサムウェアと比較すると、サイバー犯罪者から見たビジネスメール詐欺は、成功時の利益が大きいです。アメリカでは3年間で4万件の被害が発生し、日本円にすると約6,000億円の被害が出ました。単純に平均すると、1件あたり1,000万円以上の損失が出ていることになります。

ビジネスメール詐欺の場合、まずサイバー犯罪者が企業のメールを盗み見します。その後、信頼されやすい関係者を選定し、偽の送金指示メールを送るという手口です。メールを読んだ従業員は警戒心がないため、詐欺被害に遭ってしまいます。

ビジネスメール詐欺の事例

実際に、ビジネスメール詐欺はどのようにして起きるのでしょうか。いくつか事例をご紹介します。

・経営者へのなりすまし
経営者へなりすました攻撃者から、企業の財務担当者に対し、指定口座へ振り込むように連絡します。攻撃者が経営者になりすますため、疑われにくいという性質が特徴です。CEO詐欺と呼ばれることもあります。

・取引先へのなりすまし
主に、海外企業と取引のある企業が被害に遭う手口です。攻撃者は取引先の企業になりすまし、口座変更を行い、偽の請求書を送りつけます。事前に企業の取引先や請求情報、関係する従業員のメールアドレス・氏名などの情報を入手していると考えられます。

・第三者へのなりすまし
弁護士や法律事務所などになりすました攻撃者が、財務担当者の従業員を狙います。社長の代理人であることを装い、秘密裏かつ迅速に振り込むように圧力をかける手口です。緊急性が高いように見えるため、従業員が焦って入金してしまいます。

ビジネスメール詐欺対策の方法

企業にとって脅威となるビジネスメール詐欺を見抜く術はあるのでしょうか。実は、そのほとんどが社内外へのコミュニケーション次第で解決します。

いつもと違う銀行口座へ振り込む場合、攻撃者は類似したメールアドレスを作成し、従業員にメールしているはずです。正規のメールアドレスではないため、ていねいに確認することで見抜けます。取引先または経営者に内容を確認したり、請求書の情報を送付するときは電子署名を確認したりと、連絡やシステム構築を行いましょう。

ビジネスメール詐欺は、新たな詐欺の手口のため、まだ対策法が確立されていません。しかし、口座変更は疑わしいポイントなので確認がしやすいです。1回あたりの被害額が大きい詐欺ですが、防ぎようはあります。社内外とのコミュニケーションやセキュリティ対策を再構築し、トラブルに巻き込まれないようにしましょう。

この記事に関連する記事