オレオレ詐欺や詐欺商法など、「なぜ騙されるのか」と被害者の方に非があるような風潮があります。
ではビジネス上のやりとりで大手企業が多額の被害にあっているとしたら、どう思うでしょう。
ビジネスメール詐欺による被害が後を断ちません。
ビジネスメール詐欺とは
ビジネスメール詐欺(BEC:Business E-mail Compromise)とは、取引先や上司などになりすました偽のメールを企業や組織に送信して、攻撃者の口座に金銭を振り込ませるサイバー攻撃のことです。
米国では2018年時点で過去5年間で78,000件、被害総額が約120億円、1件あたり約1,800万円ものビジネスメール詐欺が発生したとのことです。
日本でも2017年に日本航空(JAL)が約3億8000万円の被害報告を明らかにして、話題になりました。
ビジネスメール詐欺の具体的例
BECの具体的例がIPAで公開されていますので参考になります。
いくつか例が紹介されていて、例えば、社内の経営者などになりすましたものは以下のようなものでした。
攻撃者(CEOになりすまし)
①「機密扱いでの相談事項があり、本日時間があるか連絡がほしい」という旨のメールを送付
・「弁護士から連絡はあったか」「金融庁の取決めにより、やりとりは全てメールで行う」とも記載
・メールの末尾に、弁護士からのメール(英文)を転送・引用しているかのように装っていた(メールのリアリティを増すための細工と思われる)
A社担当者
②「特段予定はない」という旨のメールを返信
攻撃者(CEOになりすまし)
③(②のメール送信後、約5分で)「ビットコインの準備を進めており、国際送金をする必要があるため、支払いの方法や銀行の残金表を連絡してほしい」という旨のメールを送付
文面にある金融庁という第三者が微妙な心理をついていて、「CEOになりすまし」の部分でメールアドレスをよく見ないと分からないように工夫されています。
実際のアドレスとは異なりますが、
「山田 太郎<taro.yamada@abc.com>;<sample@jp-fakefsa.com>」
という内容だったということです。
<taro.yamada@abc.com>は実際のCEOのメールアドレスで、<sample@jp-fakefsa.com>は金融庁に見せかけた偽のメールアドレスでした。
このメールに返信しようとすると、メーラーの宛先欄には
「山田 太郎<taro.yamada@abc.com>;<sample@jp-fakefsa.com>」
と表示され、CEOと金融庁の二者が宛先になっているように思わせて疑いの目を分散させるようなことを思惑があるのではないでしょうか。
実際には、山田 太郎<taro.yamada@abc.com>は表示名でありメールの送受信アドレスには関係ありません。<sample@jp-fakefsa.com>が送受信アドレスで偽装されたものになります。
これはほんの一例ですが、結構、心理面をついた手の込んだ仕込みとなっているものが多いようです。注意していないと気がつくことは困難でしょう。
ビジネスメール詐欺への対策
上記資料にもあるように、攻撃者は様々な手法を駆使してきます。対抗策としては、まずはこのような事例を多く知り、不審なメールなどへの意識を高めておくことが必要です。
具体的な対策を以下に示します。
- メール以外での確認:信頼できる電話連絡先やFAXによる確認
- 社内規定(複数の担当者によるチェック):電信送金に関する規定やダブルチェックによる体制強化など
- 普段と異なるメールに注意:日本語の言い回しや表現方法の誤りなどに注意
- 電子署名の付与:重要書類には電子署名を付与する
- 類似ドメインの調査:自組織を詐称するための似たドメイン名が取得されていないか
BECに限らず詐欺による犯罪は、なぜ簡単に引っかかってしまうのかと思ってしまいます。ターゲットとなる組織・人の環境、境遇、状況に応じたアプローチを仕掛けてくるので、客観的な立場からすると実感できないのです。
ただ、いつ自分や周りの人がターゲットにされるかもしれません。心構えだけはしっかり持つことが重要ですね。
*1:「ビジネスメール詐欺「BEC」に関する事例と注意喚起」(IPA) https://www.ipa.go.jp/files/000068781.pdf