企業で起こりうるセキュリティにまつわるさまざまなトラブルについて、茂礼手課長と部下の布施木さんの会話形式で、わかりやすく説明する本連載。第7回のテーマは「ビジネスメール詐欺」です。財務担当ではないにかかわらず、茂礼手課長の下に、海外の取引先から製品の支払いを督促するメールが届いたようです。はたして、この督促は正規の取引先から送られたものなのでしょうか!?

主な登場人物

茂礼手太朗(もれて・たろう)
茂礼手課長と呼ばれている。なにかとやらかしては、布施木君に注意される。

布施木ます子(ふせぎ・ますこ)
布施木君と呼ばれている。なんだかんだと茂礼手課長をサポート。

ある日のオフィスにて

茂礼手: 「おーい布施木君、まったく締め日の近辺というのは大変だね」

布施木: 「どうしました、茂礼手課長」

茂礼手: 「うむ、海外の取引先から我が社が調達した製品の支払いを督促するメールが届いてね」

布施木: 「課長のところに?(不審な表情)」

茂礼手: 「メールの内容を見ると、財務担当の折手(おれて)さん宛てのメールだと思ったのでね、アドレスが間違ったんだなと思って転送しておいたというわけだ(エッヘン)」

布施木: 「ふうん。ちょっとメールを見せてもらっていいですか。(パソコンを見ながら)内容はもっともらしいけど、金額が大きすぎるし、差出人のアドレス間違えるなんて怪しいですよ。課長は『BEC詐欺』って知っていますか?」

茂礼手: 「BEC? 結核の予防接種のことか?」

布施木: 「それはBCG。BEC詐欺というのは、ビジネスメール詐欺といって、取引先や経営者などになりすまして、企業の財務会計担当者にウソの送金指示を行う詐欺のことです」

茂礼手: 「まさか! 僕がそのナントカ詐欺の標的になったというのか。いかん、ご丁寧に詐欺メールを折手さんに転送してしまったじゃないか」

布施木: 「課長、落ち着いてください。まだ詐欺だと決まったわけではありません。念のため、財務会計部門と情シス部門にも報告して、その取引先に督促の事実を確認してもらいましょう」


組織の担当者を狙った「ビジネスメール詐欺」に注意


茂礼手課長は被害に遭うことはなかったようですが、企業の経理、財務担当者などをだまし、攻撃者が用意した口座に不正に送金させる詐欺は「ビジネスメール詐欺(BEC:Business E-mail Compromise)」と呼ばれます。

情報処理推進機構(IPA)では、ビジネスメール詐欺を「ソーシャルエンジニアリングの手法を応用したメールなどを組織・企業に送り付け、従業員を騙して送金取引に係る資金を詐取するといった、直接的に金銭を狙うサイバー攻撃」と定義しています。サイバー情報共有イニシアティブ(J-CSIP)のレポート「ビジネスメール詐欺『BEC』に関する事例と注意喚起」の中で、FBIによる統計として、2013年10月から2016年6月におけるBEC詐欺の被害額が約31億ドルに上ることを明らかにしました。

最近では、2017年12月にJALがビジネスメール詐欺の攻撃を受け、約3億8000万円もの被害に遭ったことが報じられたことは記憶に新しいところです。

上述したレポートでは、ビジネスメール詐欺の手口として大きく5つのタイプを示しています。

(1)取引先との請求書の偽装
(2)経営者等へのなりすまし
(3)窃取メールアカウントの悪用
(4)社外の権威ある第三者へのなりすまし
(5)詐欺の準備行為と思われる情報の詐取

(5)のように、詐欺行為の準備として、企業内の従業員など情報が狙われたり、情報を窃取するウイルスが悪用されたりする場合があります。そして、取引先などとの間で交わされた実際のメールが盗み見られ、文面やメールを送るタイミングなどを“カスタマイズ”し、標的となった社員に不審に思われないような細工がなされるのです。

このように、ソーシャルエンジニアリングの手口が用いられ、いつ、組織内のどの社員が攻撃の標的となるかわからないのがBECの恐ろしいところです。被害を未然に防ぐには、送金前に、取引先との間でメール以外の方法で確認することが推奨されます。メール文面の中で、普段とは異なる言い回しや表現の誤りがないか、細心の注意を払うとともに、不審なメールなどの情報を組織内で集約、共有し、取引先との間でも情報共有することが重要です。

また、「ソフトウェアアップデートで最新の状態を保つ」「アンチウイルスソフトを有効にする」といった基本的なウイルス対策を行うことや、パスワードの設定を見直し、「強い」パスワードにするとともに、同じパスワードを使い回さないという不正アクセスの対策も有効です。

基本的なウイルス対策や、ID・パスワードの設定方法などについては、以下の「セキュリティ7つの習慣・20の事例」も参照してください。

  • 習慣1(ソフトウェアアップデートで最新の状態にしましょう)
  • 習慣2(アンチウイルスソフトを有効にしましょう)
  • 習慣3(ID・パスワードを強くしましょう)
  • 習慣4(知らない人からのメール・LINE、チャットに注意しましょう)
  • 習慣7(万が一、何か起きたときは早めに連絡、早めに相談しましょう)

著者プロフィール

NO MORE 情報漏えいプロジェクト(エムオーテックス株式会社)


「情報漏えいの自分ごと化」をコンセプトに、メディアを通じて、難しいセキュリティをわかりやすく発信。
また、企業のセキュリティ教育に活用できる世界一ゆる~い、セキュリティブック「セキュリティ 7つの習慣・20の事例」を無償提供中。セキュリティブック・講師用資料・テスト・ポスターのデータはこちらからダウンロードできます。