ビジネスメール詐欺とは?なりすましで多額の送金を騙し取るサイバー犯罪

システム開発・テクノロジー
ビジネスメール詐欺とは?ざっくりと3行で
  • Business Email Compromise(BEC)の略で、経営幹部・取引先になりすましたメールで従業員に不正な送金や口座変更をさせる高度なサイバー詐欺のこと
  • FBIの報告では世界中で年間数十億ドルの被害が発生しており技術的なマルウェアではなくソーシャルエンジニアリング(人を騙す手口)を使うためセキュリティソフトでの検出が難しい
  • 「社長から今すぐ送金を」「取引先から口座変更の連絡」など緊急性と権威を組み合わせた心理的圧力で判断を誤らせる点が特徴だ

【深掘り】これだけ知ってればOK!

BECの代表的な手口パターン:CEO詐欺(CEOになりすまして経理担当者に緊急送金を指示)・取引先なりすまし(似たドメインを使い振込口座の変更を連絡)・弁護士なりすまし(M&A・訴訟に関する機密情報を要求)・HR詐欺(HR担当者になりすまして従業員の個人情報を騙し取る)。

BECが成功しやすい理由として、攻撃者は事前にターゲット企業のSNS・LinkedInプロフィール・プレスリリース・決算報告書を徹底的に調査して組織図・担当者名・取引先を把握してから攻撃する。メール本文は正確な日本語・適切な敬語・実際の業務用語を使うため見分けが難しい。

BEC対策の最重要策として送金処理の二重承認・帯域外確認(Out-of-Band Verification)がある。メールだけで送金指示を実行せず、必ず電話(既知の番号)や対面でも確認する手順を制度化することで、どれだけ巧妙なBECメールでも被害を防げる。

口座変更の連絡には特に注意が必要だ。取引先からの振込口座変更の連絡は最も被害が多いBECの手口の一つだ。メールに記載された口座へ直接振り込まず、取引先の担当者に別の通信手段(電話・FAX)で確認することが必須だ。SPF・DKIM・DMARCの設定でなりすましドメインからのメールを技術的に遮断することも有効だ。

定期的な社内教育と訓練が重要だ。BECのパターンを全従業員に周知し、フィッシング訓練メールを定期的に送ってBECへの感度を高めることが被害防止につながる。特に経理・財務・人事担当者は重点的に訓練対象にすることが推奨される。

よくある誤解

BECはフィッシング詐欺と同じだと思っている

フィッシング詐欺は不特定多数に偽のURLを送りパスワード等を騙し取る手法だ。BECは特定の企業・個人をターゲットにして送金・情報漏洩を目的とする高度な標的型攻撃で、より巧妙で被害額が大きい。

セキュリティソフトがあればBECは防げると思っている

BECは正規のメールアカウントや類似ドメインを使いマルウェアを使わないため従来のセキュリティソフトでは検出が難しい。送金・口座変更の帯域外確認という人的なプロセスが最も効果的な対策だ。

会話での使われ方

ITKAGYO運営者デプロイ太郎のアイコン画像

社長から今すぐ5000万円を海外口座に送金してほしいというメールが来ました。これBECっぽくないですか。絶対に送金前に電話で社長本人に確認してください。

経理担当者が不審なメールに気づき上司に確認を求めている場面。帯域外確認の重要性を示している。

ITKAGYO運営者デプロイ太郎のアイコン画像

取引先から振込先口座が変わったというメールが来ましたが、必ず電話で担当者に直接確認してください。口座変更は最もよくあるBECの手口です。

財務担当者がBEC対策として帯域外確認の手順を説明している場面。

ITKAGYO運営者デプロイ太郎のアイコン画像

BECの訓練メールを社内で送ってみたら15%のスタッフが引っかかりました。定期的なフィッシング訓練とBECの事例共有が重要ですね。

セキュリティ担当者がBEC対策の社内訓練の結果を報告している場面。

【まとめ】3つのポイント

  • 経営幹部・取引先になりすました送金指示メールで多額の損失を引き起こす:ソーシャルエンジニアリングを使うためセキュリティソフトで検出できず送金・口座変更の帯域外確認という人的プロセスが唯一の確実な対策だ
  • 送金・口座変更は必ずメール以外の手段で帯域外確認する:既知の電話番号への架電や対面確認などメールとは別の通信手段で送金指示を確認することでどれだけ巧妙なBECメールでも被害を防げる
  • 事前調査と緊急性・権威への心理的圧力が攻撃の核心:攻撃者はSNS・LinkedInなどで組織を徹底研究してから権威ある人物の名で緊急性を演出するため平時からのBEC事例共有と訓練で判断力を高めることが重要だ

よくある質問

Q
BECの被害を受けた場合の対処法は?
A

すぐに金融機関に連絡して送金の停止・返金を依頼します。次に警察のサイバー犯罪相談窓口に報告します。

Q
BECを防ぐための技術的対策はありますか?
A

SPF・DKIM・DMARCの設定でなりすましドメインからのメールを検出・拒否できます。

Q
類似ドメインの見分け方を教えてください。
A

メールアドレスのドメイン部分をよく確認します。l(小文字L)と1(数字1)の置換、.com→.co.jpなどのTLD変更が典型的な手口です。

Q
BECとスピアフィッシングはどう違いますか?
A

スピアフィッシングは偽URLへのクリックやマルウェアの実行を狙います。BECは送金・情報漏洩を目的として権威ある人物になりすまします。

【出典】参考URL

https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-email-compromise :FBIのBEC公式情報
https://www.ipa.go.jp/security/anshin/attention/2021/mgdayori20211102.html :IPAのビジネスメール詐欺対策情報

フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動を行っております。
www.antiphishing.jp
:日本フィッシング対策協議会のBEC情報

コメント

「IT用語、難しすぎて心が折れそう……」という方のための、ハードル低めな用語辞典です。

情報レベルは「基礎中の基礎」。会話を止めないためのエッセンスだけを抽出しています。分かりやすさを追求するあまり、時々例え話が暴走しているかもしれませんが、そこは「ほどよく」聞き流していただけると幸いです。
ほどよくIT用語辞典システム開発・テクノロジー
セキュリティ
デプロイ太郎のSNSを見てみる!!
ITKAGYO
タイトルとURLをコピーしました