ビジネス電子メール侵害(BEC:Business Email Compromise)や電子メールアカウント侵害(EAC:Email Account Compromise)は、企業と個人の両方を狙う主要なサイバー攻撃の一つであり、インターネットが普及した初期から存在するが、現在も進化と成長を続けている。アメリカ連邦調査局(FBI: Federal Bureau of Investigation)は5月4日(米国時間)、勢いを増すBEC詐欺の脅威を伝えるための公共広告(PSA: Public Service Announcement)をリリースした。

  • Business Email Compromise: The $43 Billion Scam

    Business Email Compromise: The $43 Billion Scam

この公共広告には、FBIのインターネット犯罪苦情センターに寄せられたBECに関する新しい被害報告、2013年10月から2021年12月までの統計が含まれている。これによると、2016年6月から2021年12月までに報告されたBECの被害件数は約24万件で、被害総額は430億ドル以上にもなるという。

BECによる詐欺の基本的な戦術は、攻撃者がソーシャルエンジニアリングや脆弱性を悪用した不正アクセスによって正当なビジネスアカウントや個人の電子メールアカウントを侵害し、不正な金銭の移動を行うというもの。例えば、幹部クラスの誰かになりすまして従業員に対して外部への資金提供を支持するなどの方法が考えられる。

ただしFBIでは、現在のBEC詐欺は必ずしも直接的な金銭の移動を要求するものばかりではないと警告している。詐欺シナリオのバリエーションの一つとして、従業員の個人情報、賃金、税務申告書フォーム、さらには暗号資産のウォレットを要求するものなどが確認されているという。2018年以降は暗号資産の被害が増加しており、今後も確実に増え続けることが予測されている。

  • BECによる暗号通貨の損失額の推移(引用:FBI)

    BECによる暗号通貨の損失額の推移 引用:FBI

FBIでは、詐欺の被害にあった場合、すぐに詐欺師との連絡を断つこと、地域の警察へ通報すること、金融機関に連絡して金融資産を保護すること、プリペイドカードや銀行口座の記録・電話・テキスト・電子メールコミュニケーションなどにおける金融取引に関する情報をすべて保管しておくなどの行動を取ることをアドバイスしている。