トレンドマイクロは8月14日、法人組織における情報セキュリティ・社内IT、経理に関する意思決定者・意思決定関与者1030人を対象に、ビジネスメール詐欺に関する認知度や被害実態を明らかにした「ビジネスメール詐欺に関する実態調査 2018」の調査結果を発表した。

同社では、2018年6月22日~26日の期間で日本在住の法人組織において情報セキュリティ・社内ITまたは経理の職域における課長クラス以上の意思決定者・意思決定関与者の計1030人を対象に調査を実施。

同社が調査した結果、全体の39.4%にあたる406人が経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るメールの受信経験があることが分かり、従業員規模別で見てもビジネスメール詐欺は中小企業を含め、規模に関係なく、さまざまな組織が直面しているサイバー犯罪であることが明らかになったという。

  • 経営幹部・取引先などになりすました「ビジネスメール詐欺」メールの受信経験割合

    経営幹部・取引先などになりすました「ビジネスメール詐欺」メールの受信経験割合

  • 従業員規模別メール受信経験割合(N=1030:単一回答)

    従業員規模別メール受信経験割合(N=1030:単一回答)

ビジネスメール詐欺の攻撃メールの受信者のうち62.3%(253人)が、送金口座の変更に伴う新しい口座への送金や、至急案件による送金を促す「送金依頼」のメールを受信したと回答した。一方で、自身が勤める組織の幹部・従業員に関する個人情報や、業務提携先に関する情報、非公開の機密情報など「情報の送付依頼」のメールを受信したのは51.5%(209人)となった。

  • 種類別メール受信割合(N=406:複数回答)

    種類別メール受信割合(N=406:複数回答)

国内ではビジネスメール詐欺は金銭を騙し取るものといった認知が一般的な一方で、多くの国内法人組織が特定の情報入手を目的としたビジネスメール詐欺にも直面していることが判明したという。

送金依頼メールの受信者(253人)のうち、8.7%の22人が騙されて実際に指定口座に送金したことが分かり、22人を従業員規模別で調べたところ、22人中54.5%を占める12人が従業員1000人以上の組織に属しており、セキュリティ対策や送金プロセスなどが比較的整備されていることが考えられる大企業でさえ、サイバー犯罪者の巧みなソーシャルエンジニアリング攻撃の被害を受けていると指摘。

加えて、送金金額について送金経験者22人を調査したところ、約20%が1000万~2000万を送金したと回答しており、5000万円未満が約半数を占めることが明らかになった一方で、1億円以上を送金したという回答者も9%を占めており、万が一騙された場合には、組織にとって事業継続を脅かす大きな損害に繋がるリスクがあると考えられている。

  • 送金依頼メールに起因した送金金額内訳(N=22:単一回答)

    送金依頼メールに起因した送金金額内訳(N=22:単一回答)

今回の調査では、送金依頼メールを受信したが「セキュリティ対策製品によってなりすましメールに気づき送金をしなかった」と43.5%(110人)が回答していることに加え、「受信者がなりすましメールであることに気づき送金しなかった」と62.1%(157人)が回答している。

  • 送金を未然に防ぐことができた理由内訳(N=253:複数回答)

    送金を未然に防ぐことができた理由内訳(N=253:複数回答)

この結果からも、ビジネスメール詐欺に対してはセキュリティ対策製品による対策とともに、攻撃手法に関する従業員への注意喚起や教育も重要かつ有効な対策であるという。さらに「受信者が本人に確認し、なりすましが判明した」「経理による送金プロセスの過程でなりすましに気づいた」という回答もあり、ビジネスメール詐欺のように人を巧妙な手口で騙すサイバー犯罪では人的、組織的なチェック機能を重ねることで被害防止にもつながることが判明した。

同社では、ビジネスメール詐欺の存在とその攻撃手法に関する従業員や経理担当者への周知、送金処理に関する承認・処理プロセスの徹底など、被害を未然に防ぐには、技術的対策と同時に組織的対策をあわせて徹底、強化することが重要だという。