重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

直近3年間の被害が3兆円近くに上るビジネスメール詐欺。その効果的な防御をどう実現すべきなのか

日本でも増えつつあるビジネスメール詐欺。サイバー保険の補償対象外であることも要注意

巧妙なメールのやり取りを通じて、企業から多額の金銭を騙し取る「ビジネスメース詐欺」。英語では「Business Email Compromise」といい、「BEC」と略されることが一般的です。その被害がここ数年で深刻な状況になっているようです。

BECの存在は、2015年に米国連邦捜査局（FBI）が情報公開することで広く知られることになりました。米国インターネット犯罪苦情センターのデータにもとづいたFBIの発表によれば、2013年10月から2016年5月までの被害件数は22,143件、被害額は約31億ドルだったと言われています。それが2016年6月から2019年7月には、被害件数が166,349件、被害額は約262億ドルへと増大※1。日本でも2018年には、日本語のメールを使ったBECが確認されています。

3年間の被害総額が日本円にして3兆円近くに達していることからもわかるように、BECの最大の特徴は被害額が大きいことです。1件あたりの平均被害額は1,700万円程度だといわれており、他のサイバー攻撃と比較しても圧倒的に高額です。そのため効率的に金銭を手に入れる手段として、BECを利用する攻撃者が増えているのです。

最近では、サイバーリスクに対応するために「サイバー保険」に加入する企業も増えていますが、BECに対して送金した場合には補償対象にならない点にも注意が必要です。詳細については契約している保険会社に確認する必要がありますが、一般社団法人日本損害保険協会のQ&Aページには「一般的にビジネスメール詐欺により加害者の口座に振り込んでしまった金額は、補償対象になりません。」と明記されています※2。

では具体的に、どのような方法で詐欺が行われるのでしょうか。独立行政法人情報処理推進機構（IPA）が2020年4月に公開した「ビジネスメール詐欺「BEC」に関する事例と注意喚起（第三報）」によれば、以下の5つの手法が存在すると説明されています※3。

(1)取引先との請求書の偽装
(2)経営者などへのなりすまし
(3)詐取メールアカウントの悪用
(4)社外の権威ある第三者へのなりすまし
(5)詐欺の準備行為と思われる情報の詐取

脚注
※1　https://www.ic3.gov/media/2019/190910.aspx
※2　https://www.sonpo.or.jp/
※3　https://www.ipa.go.jp/files/000081866.pdf

電子メールを使ってはいるものの実は「古典的」。当たり前のことをきちんと行うことが防御の鍵

これらのうち特に多いのが、取引先になりすまして偽の請求書を送りつけたり、送金先の変更を依頼する(1)のパターンと、経営幹部になりすまして偽の送金指示を出す(2)のパターンです。また(4)も似たようなパターンですが、この場合には経営幹部本人や取引先を偽装するのではなく、その代理人としての法律事務所や弁護士を騙ったメールを送ってきます。また(5)は送金の依頼ではなく、年末調整などを口実に従業員の情報を要求するパターンです。攻撃者はこのように事前に情報を収集した上で、巧妙な送金依頼メールを送り付けてくるわけです。

これら4パターンのBECは、本人のメールアドレスではなく、類似のなりすましアドレスを使うため、技術的に検出することも不可能ではありません。例えば、自社や取引先のドメイン名と似て非なるドメインから送信されていないか、送信元と返信先に異なるアドレスが記載されていないか、フリーメールからのメールではないか、といったことをチェックし、ユーザーに警告を発することで、被害を未然に防ぎやすくなります。またタイトルに「至急」や「緊急」といった文言がある場合も要注意です。BECでは受信者を慌てさせることで、内容を安易に信じさせるといった手法を使うことが多いからです。

しかしこのような技術的な対応で、すべてのBECを防ぐことはできません。成功すれば手に入る金額が大きいこともあり、攻撃者はこちらの社内事情や取引先について、入念に調査した上で攻撃を仕掛けているからです。特に(3)のように、事前に正規アドレスを詐取された上で実施されるBECには、技術的に対応することは極めて困難だといえます。経営者の行動パターンを熟知した攻撃者が、正規アドレスからBECを行ったとしたら、それが偽物だと判別することはもはや不可能です。

ではどうすれば、BECの被害を防げるのでしょうか。ここで着目すべきなのは、BECは電子メールというデジタルツールを使ってはいるものの、その詐欺の手法は古典的であるということです。古典的な詐欺に騙されないようにするには技術的な対応よりも、「当たり前のことをきちんと行う」ことが重要です。具体的には以下のようなことです。

経営幹部からの送金依頼をメールで受け取った時には、必ず本人に電話をしてその指示が正しいものであることを確認する。
取引先からの送金先変更依頼に対しては、その変更を社内で承認するプロセスを必ず実施する。
代理人からの依頼に対しても、同様の確認プロセスを設けておく。

つまり、金銭のやり取りにつながる重要なやり取りは、メールだけで完結させず、電話や対面といった直接な方法で「裏を取る」プロセスを必ず設ける、ということです。このような社内プロセスを確立し、それを漏れなく実施することで、BECによる被害を回避しやすくなります。BECへの対応はIT部門の課題ではなく、社内プロセスをどうするかという経営課題なのだという認識が必要なのです。

VMware Carbon Black Cloud Endpoint Standardとは

VMware Carbon Black Cloud Endpoint Standard（旧CB Defense、以下Endpoint Standard）は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス＋EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア（ファイルレス）攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。

詳しくはこちら