ビジネスメール詐欺(BEC)とは、取引先や経営者になりすました偽メールで送金を誘導するサイバー犯罪です。
1件の被害金額だけでも数千万円にもなるビジネスメール詐欺……あなたは見破れますか?
本記事では具体的な被害事例や企業が取るべき対策を詳しく解説します。
ビジネスメール詐欺(BEC)とは?
Business Email Compromise(BEC)は、世界で最も巨額の損失を生むサイバー犯罪のひとつ。
メールヘッダ偽装やアカウント乗っ取りを伴うケースが多く、騙されて送金してしまうと、その後の資金回収は困難です。
BECは以下のような典型的な手口があります。
振込先差し替え(請求書偽装)型
既存の請求書PDFを盗み見て口座情報だけを書き換え、再送付してくる。
CEO 詐欺(緊急送金要求)型
社長や CFO を名乗り「至急対応」「秘密裏に」などとプレッシャーをかけ即日送金させる。
サプライチェーン侵入型
取引先のメールボックスを乗っ取り、実際のスレッドに割り込むため不自然さが薄い。
マルウェア連携型
添付ファイルやリンクでマルウェアを送り込み、数週間後に偽メールで送金を誘導する。
実際の被害事例
偽の口座へ送金させようとする
国内の輸入販売業の企業が、取引先の海外企業の担当者になりすました攻撃者から通常とは別口座への振り込みを要求するメールが送られました。
過去にも送金先の変更依頼があったことからメール内容を信じてしまい、偽の口座へ実際に送金。その後、攻撃者から「送金されたお金が、口座の問題で振り込まれなかった」という内容のメールが来て不審に思い電話で確認したところ、詐欺であるということが発覚しました。
社長になりすまして送金を要求
国内企業の社長になりすました攻撃者が、グループ会社の役員へ向けて投資を行う指示をメールで行いました。
当初はなりすましであると気づかずにメールのやり取りを行っていましたが、質問に対する回答が不審だったことから詐欺であることが発覚しました。
場合によってはメールアカウントの乗っ取りによって攻撃者が正規のメールアドレスを使用してくる可能性があります。
「メールアドレスが正しいかどうか」だけでは見分けられないのがビジネスメール詐欺の気をつけたいポイントです。
被害に遭ったときはどうしたらいいの?
ビジネスメール詐欺は急な対応を促すような内容が多くあります。
「慌てて送金したけれども、これって詐欺なのでは…?」
そんな時には、速やかな対応が必要です。
まずは送金をキャンセルする
偽の口座へ送金してしまったと思われる場合、すぐに送金のキャンセル手続きを依頼しましょう。
特に海外送金では分刻みで回収可能性が下がります。当該地域の現地警察へ連絡し、偽の口座の凍結や資金の回収について相談することも有効です。
状況把握と証拠保全
ビジネスメール詐欺の捜査や調査で必要な証拠をまとめておきます。攻撃者から送られてきたメールは保存し、時系列順に整理しておくとよいでしょう。
取引先に偽のメールが送られているケースもあるため、同様に状況把握や証拠保全を依頼する必要があります。
なお、内部犯行による可能性も考慮して調査は最小限の関係者で行うようにしてください。
原因調査と関係者で行う対応
関係者のPCをウイルススキャン、メールアカウントのパスワード変更、転送・振り分け設定の確認を行います。こちらについても、自社だけでなく取引先にも対応を依頼しましょう。
警察・IPA へ通報する
攻撃者から送信されたメール等を持参して、最寄りの警察署に通報・相談を行います。なお、事前に電話で担当者と日時や必要な持参資料の調整をしておくとスムーズです。
仮に送金までに至らなかったとしても、ビジネスメール詐欺と思われる場合はIPA(独立行政法人情報処理推進機構)に情報提供を行いましょう。
ビジネスメール詐欺の被害に合わないためには
メール以外での二重確認を行う
送金フローを文書化し、「口座変更時は必ず電話で本人確認」をルール化しましょう。
社内ポータルや朝礼で注意喚起を行い、忘れないように徹底するのが大切です。
添付ファイル・リンクの扱いに注意
マルウェア型のビジネスメール詐欺に備え、メールにある未知のリンクや広告バナーは不用意にクリックしないようにしましょう。
正しいメールアドレスでも疑う
メールアカウントの乗っ取りはありうるものと想定し、「口座変更」「急ぎの送金」といった要件に気をつけましょう。
不自然な話の流れや翻訳調の言い回しに注意して少しでも違和感がある時にはメール以外での本人確認を行うようにします。
“来る前提”で備えることが最大の防御
ビジネスメール詐欺は巧妙化し、必ず発生するリスク として捉えるべき段階に入りました。
大切なのは「知って終わり」ではなく「知って備える」こと。本記事の内容をきっかけに、今すぐできる小さな対策から始めてみてください。
万全の備えが、あなたのビジネスと信頼を守ります。
参考)IPA ビジネスメール詐欺(BEC)対策特設ページ
https://www.ipa.go.jp/security/bec/about.html