ビジネスメール詐欺とは?手口と3つの対応策をご紹介
更新日 : 2024年12月02日
ビジネスメール詐欺(Business E-mail Compromise|BEC)という言葉に聞き覚えがあるのではないでしょうか。
2020年1月に独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2020」において、「ビジネスメール詐欺による金銭被害」として第3位にランクインし、今警戒すべきサイバー攻撃の1つとなっています。
今回は、猛威を振るうビジネスメール詐欺の概要とその対策方法についてご紹介します。
YouTube動画でも解説しています
セキュリティのことがあまり詳しくない方向けに、ビジネスメール詐欺(BEC)とはどんなサイバー攻撃なのか、対策のポイントを5分程度で紹介しています。ぜひご覧ください。
ビジネスメール詐欺とは?
ビジネスメール詐欺とは、「自社または関連会社の経営層や取引先になりすまし、金銭をだまし取ることを目的としたサイバー攻撃」のことです。
攻撃者は、ターゲット企業と取引先の電子メールを傍受したり、LinkedInやFacebookといったSNSからターゲット企業担当者の情報収集を行ったり、詐欺行為の準備を行います。
ビジネスメール詐欺の手口は大きく5つに分類することができ、次章で具体的な手法についてご紹介します。
ビジネスメール詐欺手口の5つのタイプ
-
取引先との請求書の偽装
-
経営者等へのなりすまし
-
窃盗メールアカウントの悪用
-
社外の権威ある第三者へのなりすまし
-
詐欺の準備行為と思われる情報の搾取
経営者等へのなりすまし、その具体例とは?
例えば、企業の経理・財務部門といった取引先と金銭的なやり取りを行う担当者をターゲットとし、会社の役員を装った偽装メールを送り付け、金銭を搾取しようとするものが挙げられます。
具体的な手口としては、下記の例が挙げられます。
手口の一例
①実在する役員(なりすまし)からメールポイント取引先や自社の経営層など権威がある人からメールで、機密扱いの指示が届きます。送信元のメールアドレスは偽装しているケースもあり、あたかも本人から送られてきたかのように見えます。 |
②周りに相談しないよう「機密」とするポイント権威ある人物から機密扱いと言われているため、周りに相談せず隠密にすすめてしまいます。メールのやり取りをはじめてしまうと、最終的には指定口座に振り込ませるような指示が発生します。 |
③受信者を信用させ指示を遂行させるポイント受信者は本物の経営層からの指示と信じ込み、メールの指示の通り金銭の振込を行ってしまいます。後日メール送信者に確認した際や、監査の際に詐欺であったと発覚します。 |
このように、まるで経営者から指示が行われたかのように見える巧妙な偽装が施されているため、日本国内でも金銭的な被害を受けた企業も確認されております。
こうした被害を防ぐためには、どのように対策を行っておくべきなのでしょうか。
▼ホワイトペーパーのサンプル▼ |
サイバー攻撃の被害を受け情報漏えいした企業のニュースを見て、他人事だと思っていませんか? 情報が漏えいした場合、損害賠償、請求業務の一時停止、社会的信用の低下など様々な影響が出てきますので、企業として適切な対策を講じる必要があります。 本ホワイトペーパーでは、被害事例が多く報告されているサイバー攻撃の手法をご紹介します。 |
ビジネスメール詐欺を見破るためには?
ビジネスメール詐欺を防ぐ対策として、大きく3つ挙げられます。
①普段とは異なるメールへの注意ポイント突然の振込先変更依頼や、即座に入金するようなメールについては、本当の依頼なのかどうかを確認するよう、従業員一人一人が意識することが大切です。また、メールの文面内に普段とは異なる言葉遣いや表現の誤りがあれば、送信元に事実を確認した方が良いでしょう。 |
②メール以外のコミュニケーションポイント1に関連しますが、事実を確認する方法として電話やFAXなどの手段を利用できるよう、取引先と調整することも重要です。メールに記載されている電話番号は偽装されている恐れもあるため、信頼できる方法で入手した連絡先を確保するようにしましょう。 |
③セキュリティ対策の導入ポイント1日あたりの平均受信メール数は「38.07通」※という数値も出ており、メールを1通ずつ確認するとなると、業務に支障をきたしかねません。怪しいメールを自動で検知するセキュリティ対策に関するサービスの導入もお勧めします。 |
1、2のとおり社員一人一人の意識を変革や取引先との密なコミュニケーションをとることも大切ですが、人の判断では限界があります。ビジネスメール詐欺を防ぐためには、専門のセキュリティ対策サービスの導入をお勧めします。
まとめ
今回は、ビジネスメール詐欺の概要と対応策についてご紹介しました。JBサービス株式会社では、こうしたビジネスメール詐欺がまさに届いてしまったというお客様よりご相談も受けています。
前述しました通りビジネスメール詐欺のようなサイバー攻撃は人の目だけでは対応困難のため、セキュリティ対策に関するサービスの導入をぜひご検討ください。
参考元
- ビジネスメール詐欺(BEC)とは?
自社または関連会社の経営層や取引先になりすまし、金銭をだまし取ることを目的としたサイバー攻撃のことです。
- ビジネスメール詐欺(BEC)の例は?
例えば、企業の経理・財務部門といった取引先と金銭的なやり取りを行う担当者をターゲットとし、会社の役員を装った偽装メールを送り付け、金銭を搾取しようとするものが挙げられます。