ビジネスメールへの詐欺(BEC)が蔓延中!? その対策とは?

瞬時に伝えたい情報を、添付ファイルを含めて共有できる利便性がゆえ、電子メール(以下、メール)はビジネスにおけるコミュニケーションツールのスタンダードとなった。しかし、このメールが持つ手軽さは、企業を標的に詐欺行為をするサイバー犯罪者にとっても同様に「手軽」でうってつけの攻撃対象であることを意味する。そして近年ではビジネスメールを使った詐欺行為は巧妙化し、標的型のものも増加しつつある。こうしたメールに騙されないためには、攻撃する側の手口を理解することが必要だ。本記事では、メールによる攻撃手法を紹介した上で、その対策について紹介していく。

メール詐欺を巡る概況

2018年6月、一般社団法人日本ビジネスメール協会が「ビジネスメール実態調査 2018」を公表した。この調査によると、仕事で利用している主なコミュニケーション手段の第1位はメールで、実に96.5%のビジネスマンが利用しているとのことである。近年では、社内のコミュニケーション手段として、メールより手軽かつ便利な点からビジネスチャットツールが急速に普及。しかし、対外的なコミュニケーション手段は、まだまだメールが主体で、この傾向は今後もしばらく続くと見込まれる。これはサイバー犯罪者にとっては今後も、メールでの攻撃が有効であることを意味している。

ここで、詐欺行為をおこなうサイバー犯罪者側の視点で、メールを使った詐欺行為をおこなうケースを考えてみよう。メールを使った詐欺を成功させるためには、一体どれだけのメールを送信すればよいのだろうか。それは確率論であり、メールを使った詐欺成功件数は、以下のように表せる。

送信数 × 詐欺成功確率＝詐欺成功件数

この式をもとに考えてみると、たとえ詐欺成功確率が低くとも、大量の詐欺メールを送信すればするほど詐欺成功件数は増加することになる。迷惑メールの数が年々右肩上がりで増え続けてきた理由でもあるが、近年では通信キャリアや企業側の対策も功を奏し沈静化しつつある。高度なフィルタリング機能でユーザーのメールボックスに配信されないことも増えており、数年前よりも迷惑メールを見かけなくなったという実感を持つユーザーも多いことだろう。

サイバー犯罪者もこうした対応を受け、その攻撃手法を変化させてきている。大量のメールをユーザーの手元に到達させるのが難しいのであれば、ターゲットを絞り込んで詐欺成功確率を上げることで、詐欺成功件数は確保できる。成功確率を上げるには企業のセキュリティ対策の穴を狙えばいい。こうした考え方のもと、近年増加傾向にあるのが標的型のビジネスメール詐欺だ。

サイバー犯罪者にとって、人物を特定してメールアドレスを入手することはそれほど難しくない。多くの企業では一定のルールのもとでメールアドレスを設定しているため、氏名や部署といった情報がわかれば推測することも容易だ。また、名簿業者からピンポイントで購入することも考えられる。展示会などのイベントや営業活動を通じて名刺を多数配布している場合、特定できる可能性も高まることになる。すなわち、メールアドレスが犯罪者にも知られていることを前提とした対応が必要ということだ。

ビジネスメール詐欺で得られるリターンが大きければ、犯罪者は成功確率を上げるための手間を惜しまない。特定の従業員の業務内容を把握し日常的な取引を偽装する、高度で手の込んだビジネスメール詐欺も増加傾向にある。一定期間、メールの通信内容を傍受・盗聴したのちに攻撃を仕掛けるといった事例も出てきており、これらは本物と見分けるのが難しい。ユーザーとしては、このようにメールを取り巻く環境が安全ではなくなってきていることを認識し、しかるべき対策を講じていくことが求められている。

ビジネスメール詐欺は急拡大

詐欺メール先進国である米国では、2013年10月から2018年5月までのビジネスメール詐欺の発生件数は8万件弱、被害総額は約120億米ドル(日本円で約約1兆3200億円、未遂を含む)に及んでいる。驚くべきはその平均被害額だ。1件あたりの平均被害額は、日本円で約1,800万円と非常に高額になっている。

深刻化の一途をたどる状況を前に、IPA(独立行政法人情報処理推進機構)も警鐘を鳴らし始めた。IPAでは、偽装したメールを従業員に送りつけ、不正送金などの手法で金銭をだまし取るといった、金銭的な被害をもたらすサイバー攻撃をBEC(Business E-mail Compromise)と定義している。

IPAが公表している「ビジネスメール詐欺『BEC』に関する事例と注意喚起」では、ビジネスメール詐欺のタイプや事例を紹介している。詐欺事例からその手口を読み解くと、一定の傾向が見いだせる。犯罪者は、標的企業と関係の深い取引先の請求担当者やCEO、弁護士になりすまし、巧妙かつ自然な取引を装っているのだ。これらの事例からは、実際に振込をおこなってしまった担当者も十分に注意を払っており、責任を全面的に負わせるのは難しいことが理解できる。具体的に2つの事例を紹介する。

1)海外カンファレンス事務局担当者とのやり取りの途中で指定口座に振込させたケース

日本国内の企業が、海外のカンファレンスブース出展にあたりメールでやり取りをおこなっていた。このやり取りの途中に、犯罪者が紛れ込み、電子送金による振込をおこなうよう要求。犯罪者は、何らかの手段で両者のやり取りを盗聴しており、タイミングよく海外のカンファレンス事務局担当者になりすまし、詐欺行為に及んだと考えられる。このケースは継続的なやり取りを偽装しており、極めて見破るのが難しい。

2)CEOから仮想通貨購入準備として国際送金させようとしたケース

ある国内企業に、仮想通貨を購入するための準備と称して、国際送金を依頼するビジネスメールが届いた。メール文面は国際法律事務所の日本人弁護士とのやりとりを装った内容を転送・引用しているように偽装されており、返信の際にはその弁護士のメールアドレスをCCに含めるよう指示していた。従来であればこうした詐欺メールはほとんどが英語、あるいはつたない日本語で、見破るのも難しくなかった。しかし、状況は変わりつつあり、自然な日本語でこうしたメールが届くようになっている。これまでのような言語の壁による安全性はもはや担保されない時代になりつつある。

ビジネスメール詐欺への対策

年々詐欺メールの手口は巧妙化している。メールアドレスを詐称し、送信元を正規の取引先と錯覚させるような細工はもちろんのこと、メールの文面にもリアリティを持たせるなど工夫されている。得られる金銭的メリットも大きいだけに、詐欺メールを送信する側も極めて巧妙に通常の取引を装っているのだ。メール文面についても、近年ではAI技術の進展などを受け、自動翻訳の精度が向上している。国際的な組織が詐欺に手を染めている可能性も指摘されており、機械的な翻訳ではなく日本人がメールの文面を作成しているケースもありそうだ。

このような標的型の詐欺メールへ対抗する決定打は存在しないのが実情だ。ユーザーがそれぞれのやり取りに対し、最大限の注意を払うしかない。例えば、特に高額な金銭の振込をおこなう場合、メールだけで完結すべきではない。具体的には、以下のような観点で注意する必要があるだろう。

メール以外の手段で連絡・確認

メールだけでなく、特に送金をおこなう際には電話やチャットといった他のコミュニケーション手段も併用して本人確認をおこなう方法だ。メールの特徴のひとつに、相手の顔が見えないという点が挙げられる。便利なコミュニケーションツールだけに忘れがちなメールの弱点に目を向け、その弱点を補う確認プロセスを追加するのだ。パスワードの持つ認証強度を高めるために、パスワード以外の生体認証などを求める「二段階認証」に似たアプローチといえるだろう。

具体的には、ファイルを送信する際のパスワードは、メールではなくチャットや電話で伝えるといった方法が挙げられる。銀行の振込先については電話などで確認を取り、急な振込先の変更があった場合は、その都度必ず電話で確認をとるといった対応も有効だ。十分に注意を払うためにも、ルールに則った運用フローを徹底し、取引先への周知もしておきたい。従業員への教育も実施しておく必要があるだろう。

ウイルス・不正アクセス対策

やり取りをおこなう現場の従業員だけでなく、管理する企業側もできる限り気をつける必要がある。先の事例で紹介したように、攻撃者は、メールのやりとりを盗聴している可能性があり、タイミングよく取引の間に割り込み、詐欺行為をおこなうような事例も増えてきている。メールの内容やメールアカウントの情報を窃取するマルウェア、メールサーバーへの不正アクセスなどを通じて盗聴している可能性を疑い、必要なセキュリティ対策は講じておくべきだろう。標的となる購買担当者を割り出してメールを盗聴するために、直接関係のない従業員を踏み台にするケースも考えられるため、企業全体でセキュリティに対する意識を高めることも欠かせない。

まとめ

重要な情報が高値で売買されるブラックマーケットや、追跡しづらい仮想通貨の普及などもあり、サイバー空間上での犯罪は今後もより一層高度化していくことが見込まれる。企業に対する攻撃も標的型メールだけでなく、さまざまな攻撃手法が確立される可能性も高い。従業員や企業が被害に遭わないためにも、今回紹介したようにメールのセキュリティ対策をソフトウェア等で講じるのはもちろんのこと、従業員のリテラシーを高めるための教育なども必要だろう。日々の行動に注意を払い、必要な策を講じることが最大の防御策であることは忘れずにおきたい。