ビジネスメール詐欺(BEC)とは? 犯行手口と被害にあわないための対策
「ビジネスメール詐欺(BEC)」という言葉を聞いたことはあるでしょうか。 ビジネスメール詐欺(BEC)はインターネットを利用した金銭搾取を伴う詐欺行為です。 攻撃者は取引先や経営者になりすまし、用意した口座へ送金するように誘導します。 そして送金されたらすぐにお金を引き出し、企業から金銭を奪います。 ビジネスメール詐欺(BEC)では攻撃者が入念な事前準備を行っているため、偽メールや請求書は精巧につくられており、専門知識がないと、見破るのは至難の業です。 そこで、本記事ではビジネスメール詐欺(BEC)の犯行手口から具体的な対策方法まで解説します。
ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(Business Email Compromise)は一般的に「BEC」と呼ばれ、攻撃者が取引先企業や経営者を装って担当者を欺き、金銭や情報を奪取する詐欺行為です。
IPAが社会的インパクトを与えたと判断したセキュリティ事案をランキング形式でまとめた「情報セキュリティ10大脅威 2020」では、ビジネスメール詐欺(BEC)は、昨年の2位から3位に下落したものの、依然として脅威をもたらすサイバー攻撃としてみなされています。
2019年9月、米連邦捜査局(FBI)がアメリカのインターネット犯罪苦情センター(IC3)に寄せられた報告をもとに作成した「Internet Crime Report(インターネット犯罪報告書)」によれば、全世界におけるビジネスメール詐欺(BEC)の累計被害総額は3年間で262億ドル(約2兆8,500億円)以上と言われています。 2018年の1年間だけでも2万件以上、被害総額は約13億ドル(約1450億円)とされています。
また、ある日本法人の社長が振込指示のメールを受け取り、計3億円を振り込んだ被害事例もあります。 その後社長は解任され、海外本社から損害賠償を請求されました。 このように、ビジネスメール詐欺(BEC)は企業に多大なダメージを与え、対応によっては個人のキャリアにも傷をつけてしまいます。
ビジネスメール詐欺(BEC)と標的型攻撃の違い
ビジネスメール詐欺(BEC)とよく似た攻撃の一つに標的型攻撃があります。 標的型攻撃は特定のターゲットを決めてからマルウェアが仕込まれた添付ファイル付のメールを送信し、ターゲットにファイルを実行させ、情報を盗み取るものです。 標的型攻撃の主な目的は情報を奪取することにあります。
一方、ビジネスメール詐欺(BEC)は、情報を盗み取ることより不正送金による金銭搾取を主な目的としています。 攻撃者はあらゆる手段でターゲットと取引先とのメールを傍受し、ターゲットと実際の取引先とのやり取りに介入する形でメールを送付します。 標的型攻撃よりも、より巧妙な手口を使うのが特徴です。
ビジネスメール詐欺(BEC)の最新動向
2020年4月27日に情報処理推進機構(IPA)が発表したところによると、ビジネスメール詐欺(BEC)関連の相談は114件で、そのうち金銭奪取などの被害に遭ったのは17件となっています。 従来、ビジネスメール詐欺(BEC)は日本企業の海外支社をターゲットにするケースが多かったですが、近年は日本語の不正メールを使って国内企業を狙うケースも確認されており、返信をすると次の日本語メールが送られてくる例もあるそうです。
トレンドマイクロでは、このような巧妙な偽メールを検知する方法として、AI技術によってメール作成者のクセを分析しなりすましを見破る「Writing Style DNA」を開発しています。 これは偽メールに使われる可能性が高い経営幹部のメールを分析し、大文字の利用頻度や文章の長さ、句読点などの約7,000点の特徴をAI技術を使って深層学習させ、モデルを作成します。 もし送信されたメールがモデルとの差異が大きい場合は偽メールとの判定を下します。
ビジネスメール詐欺(BEC)の手口
ビジネスメール詐欺(BEC)には、大きく「情報の詐取」「不正入手したメールアカウントの悪用」「経営者や企業幹部へのなりすまし」「弁護士などの権威ある立場の濫用」「振込先や請求先変更の虚偽告知」など、5つの手口があります。
情報の詐取
先述したとおり、ビジネスメール詐欺(BEC)の本来の目的は情報の詐取ではなくターゲットからお金を奪うことです。 ビジネスメール詐欺(BEC)における情報の許取はあくまで情報収集となります。 これは、ソーシャルエンジニアリングの手口にも共通しています。 ターゲットに近い人物あるいはターゲットに接触できそうな人物になりすまし、情報を詐取し、組織内部の実情を把握したり、セキュリティ上、脆弱な箇所を見つけていきます。
不正入手したメールアカウントの悪用
事前にターゲットに関連性の高い取引先や社内のメールアカウントを乗っ取った上で、ターゲットに対してなりすましメールを送ります。 なりすましメールには攻撃者が用意した口座の差し替えに関する文章や架空の請求書などが含まれています。 ターゲットは正常なメールアドレスから送付されているため、ビジネスメール詐欺(BEC)に遭ったと気づけません。
経営者や企業幹部になりすます
経営者や企業幹部のなりすましは「企業幹部詐欺」「CEO詐欺」「なりすまし詐欺」「金融業界送金詐欺」と呼ばれることもあります。 これは攻撃者が経営者や企業幹部になりすまし、ターゲットに用意した口座への振り込みを誘導するメールを送るものです。 事前に攻撃者は経営者などのメールアドレスを分析し、より本物らしくふるまえるように工夫します。
弁護士や国家機関など権威ある立場になりすます
攻撃者が弁護士や国際機関など権威ある社外の第三者になりすまし、企業の顧問財務担当者などに用意した口座へ振り込ませる手口です。 場合によっては社長の代理人弁護士になりすまし、急を要する機密案件があるなどと揺さぶりをかけることもあります。
取引先の請求や振込先変更の偽装
取引先の請求や振込先変更の偽装は「偽の請求書詐欺」「請求書偽装の手口」「サプライヤ―詐欺」とも呼ばれています。 攻撃者はターゲットと取引先が請求に関してやり取りをするタイミングを狙い、用意した口座や架空の請求書を送りつけます。 この手口では事前にターゲットと取引業者とのやりとりを傍受しており、取引や請求に関連性の高い従業員のメールアドレスや氏名を入手していることがあります。
ビジネスメール詐欺(BEC)による被害事例
ここでは、過去に起こったビジネスメール詐欺(BEC)の被害事例について解説します。 国内の事例とアメリカの事例を取り上げます。
日本航空(JAL)
2019年12月10日、日本航空はビジネスメール詐欺(BEC)により約3億8000万円をだまし取られたことを発表しました。 この事件では担当者が誤って旅客機リース料と地上業務委託料を支払ったことが確認されています。
2019年8月、アメリカにある日本航空の貨物事業所のもとに支払先口座の変更を伝えるメールが届きました。 担当者はビジネスメール詐欺(BEC)と気づかず、香港の口座に2,400万円を振り込みました。
さらに、2019年9月には日本航空のもとに支払先である海外の金融会社になりすました偽の旅客機リース料に関する請求書が届きました。 請求書には振込先の口座が香港の銀行に変更されたことを伝える文言が記載されていたそうです。 さらに、担当者は指示通りに3億6000万円を支払ってしまい、数日後には全額が引き出され回収不能となりました。 結局、これらの事件により日本航空は計3億8000万円の損失を被りました。
いずれも本物のメールのやり取りに割り込む形で詐欺を働いていたことが分かります。 詐欺メールは本物のメールの直後に送られており、添付されていた請求書のPDFファイルは「訂正版」となっていました。 もちろん文章レイアウトはそっくりで担当者名も同じでした。
攻撃者は日本航空と取引先とのメールのやりとりを盗み見ていた可能性が高いとされています。 なお、スカイマークにも同様の偽メールが来ましたが、こちらは担当者が取引先に問い合わせたため、未遂に終わりました。
トヨタ紡織ヨーロッパ
ヨーロッパとアフリカ地域の自動車のシート開発や販売を行っているトヨタ紡績ヨーロッパは、2019年9月にビジネスメール詐欺(BEC)により約40億円が流出したことを明らかにしました。
被害に遭ったのはベルギーにあるトヨタ紡織の子会社で、偽メールの指示により経理担当者が送金をしてしまいました。 約40億円もの資金が流出したことにより、トヨタ紡織は2020年3月期の業績予想の修正をするなど、経営にも大きなダメージがもたらされました。
海外の事例
2019年、アメリカのテキサス州にある学校運営組織がビジネスメール詐欺(BEC)の被害に遭いました。 被害総額は推定230万ドル(約2億5,300万円)とされています。
攻撃者は2019年11月から12月にかけて、3回にわたって学区内の担当者に偽メールを送りました。 担当者は支払先の銀行口座が変更されていることに気づかず、口座が偽物であることが発覚するまで計3回も送金してしまいました。
ビジネスメール詐欺(BEC)の対策方法
ビジネスメール詐欺(BEC)はどの企業も攻撃の対象となりうるサイバー攻撃であり、いつどのような形で攻撃されるか把握できないため、非常に脅威です。 以下の対策を行い、ビジネスメール詐欺(BEC)に備えましょう。
DMARC認証の導入
最初に考えられる対策としてドメイン認証が挙げられます。 DMARCはメールにおける送信ドメイン認証の1つです。 つまりメールアドレスのドメインを確認して、正規サーバーから送付されたメールであるかを判定します。 DMARCは送信ドメインの認証技術SPF(送信元メールサーバーのIPアドレスで確認)やDKIM(電子署名での確認)を用いたドメイン認証を補強します。 また、メールの認証の詳細な結果を(正式な)送信側において、知ることができます。 DMARCに対応するとメール受信側から認証統計や認証失敗のレポートを受け取れます。
なおDMARCは第三者署名を許可していないため、メールを送信するときは送信元のドメイン情報を自分の会社のものにする必要があります。
DMARCの難点としては、自社だけでなく取引先や顧客もDMARCに対応しないと効果が薄いということです。 総務省の調査によれば、国内のDMARCの普及率は、一番高い「ad.jp」ドメインで3%程度、「go.jp」ドメインでたった1%程度という結果が出ています。
<参照:特定電子メール等による電子メールの送受信上の支障の防止に資する技術の研究開発及び電子メールに係る役務を提供する電気通信事業者によるその導入の状況|総務省>
電子署名の付与
電子署名とはその書類が正式なものであり、改ざんされていないことを証明するものです。 紙の書類では印鑑やサインを用いることで、その書類が正式なものであることを証明していました。 しかしPDFファイルは書き換えが容易にできてしまうため、印鑑やサインだけでは正規な書類であることを証明できません。 そこで印鑑やサインと同様の機能を持つ電子署名が広く普及しています。
電子署名では電子証明書とタイムスタンプの付与が必要です。 電子証明書は指定認証局が発行し「この電子署名は実在する人物が署名した正式なものである」ことを証明します。 受信者は電子署名と電子証明書を一致させることで、その文章が偽装や改ざんされていないことを確認できます。
タイムスタンプは電子データによる契約書などに付与し、付与時間が記されています。 役割としてはタイムスタンプが押された時刻に書類が存在していたことの証明、タイムスタンプが押された時点以降に書類が改ざんされていないことの証明ができます。
不自然な本文・件名のメールに注意する
アナログな方法ですが不自然な本文、件名のメールに注意することも重要です。 日本語だと普段とは異なる言い回しに気づくかもしれませんが、英語の場合は難しいかもしれません。 それでも普段から異なる言い回しや表現の誤りには注意するようにしましょう。 またドメイン名では「W」と「VV(Vふたつ)」、「0(ゼロ)」と「O(オー)」など類似した文字を使うケースが多く存在しています。 もし、正規メールと判断できない場合は、そのメールに記載されている電話番号ではなく、普段使用している電話番号で担当者に確認しましょう。
担当者/振込先変更のフロー強化
支払先の銀行口座が変更になった場合は、変更通知書類の送付を義務付ける、担当者に直接電話して確認するなど、振込先口座や担当者の変更が発生した場合の対応や確認フローを事前に取り決めておきましょう。 また、1人の担当者が大量の請求書などの書類を扱っている場合、偽メールや偽請求書に気づくことは非常に困難です。 業務の振り分けの見直しやフローの変更を検討しましょう。
類似ドメインの調査
攻撃者は正規のドメイン名に類似した詐称用ドメインを取得し、攻撃することがあります。 定期的に類似したドメインが取得されていないかを確認し、場合によっては注意喚起を行います。 なおこの対策はビジネスメール詐欺(BEC)だけでなくフィッシング攻撃にも有効です。
メールに添付されたファイルやURLは不用意に開かない
経営幹部や取引先からのメールであっても添付されたファイルやURLを不用意に開けないようにしましょう。 偽メールの場合、添付ファイルを開くとマルウェアに感染したり、また、サイトURLを開くとフィッシングサイトへ誘導されたり、マルウェアを送りこまれる場合があります。 不正プログラムが働くと情報漏洩など新たな被害につながる恐れがあるため十分な注意が必要です。
まとめ
ビジネスメール詐欺(BEC)は一般的なコンピュータウイルスやマルウェアとは異なり、正規のメールから送付されるケースもあり、検知が難しい攻撃といえるでしょう。 ビジネスメール詐欺(BEC)の被害に遭うと、莫大な損害が生じる場合もあり、事業活動に深刻な影響を与えます。
今回、挙げた対策方法を実践し、いつか訪れる攻撃に備えましょう。