IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威 2020」では、組織への脅威として「ビジネスメール詐欺による金銭被害」が3位にランクインしています。

「情報セキュリティ10大脅威 2018」からランク入りするようになった比較的新しい攻撃手法で、今年に入ってからも攻撃事例が報告されています。

いつ自社が狙われてもいいように、ここで改めてビジネスメール詐欺の手口と対策を確認しましょう。

ビジネスメール詐欺とは

ビジネスメール詐欺（BEC：Business E-mail Compromise）とは、取引先や企業内の重役などになりすましたメールを送り、攻撃者が指定した偽の口座へ振り込ませる攻撃です。

初めてランク入りした「情報セキュリティ10大脅威 2018」では3位、「情報セキュリティ10大脅威 2019」は2位と順位をわずかに動かしながらも高止まりしています。

3年前まではランク外にありましたが、ここ数年で攻撃報告数が急増しており、メジャーな攻撃になっています。

米国連邦捜査局（FBI）によると、2016年6月～2019年7月の間に178か国で発生したビジネスメール詐欺件数は166,349件で、被害総額は約2.8兆円（約262億米ドル：未遂含む）、一件当たり約1700万円（約16万米ドル）です。ビジネスメール詐欺は被害額が非常に高額であることも特徴の一つです。

関連記事

ビジネスメール詐欺の五つのタイプ

IPAはビジネスメール詐欺について以下の五つのタイプを紹介しています。

• タイプ1：取引先との請求書の偽装
  （例）取引のメールの最中に割り込み、偽の請求書（振込先）を送る
• タイプ2：経営者等へのなりすまし
  （例）経営者を騙り、偽の振り込み先に振り込ませる
• タイプ3：窃取メールアカウントの悪用
  （例）メールアカウントを乗っ取り、取引先に対して詐欺を行う
• タイプ4：社外の権威ある第三者へのなりすまし
  （例）社長から指示を受けた弁護士といった人物になりすまし、振り込ませる
• タイプ5：詐欺の準備行為と思われる情報の詐取
  （例）経営層や人事部になりすまし、今後の詐欺に利用するため、社内の従業員の情報を詐取する

ビジネスメール詐欺「BEC」に関する事例と注意喚起（IPA 独立行政法人 情報処理推進機構）

IPAはビジネスメール詐欺について情報提供された数を公開しており、2015年～2020年3月までの5年間に報告数は114件（金銭的な被害が確認された件数は17件）、2020年の4月～6月の間には、わずか3ヶ月間だけで攻撃の報告件数が77件と急増しています。

最近の攻撃事例

2017年に国内で攻撃が観測され始めた当初は英語のメールだけでしたが、2018年には日本語のメールも確認されはじめ、2020年3月からは新型コロナウイルス感染症（COVID-19）を利用したメールが確認されるなど、騙しの手口は進化していることがわかります。また、本文に使用される日本語にもさほど不自然な点がなかった事例もありました。

攻撃手法や本文の内容は使いまわされているのか複数の攻撃で共通することが多く、事例を知ることである程度対処が可能です。

最近行われた被害事例についてご紹介します。

偽見積書への差し替えで振り込み口座を変更した事例

2019年2月に発生した事例で、国内企業A社（入金側）と海外企業B社（請求側）が取引に関わるやり取りをメールで行っている際に、第三者である攻撃者が請求側企業の担当者になりすまし、偽の口座への変更を狙ったメールを送る手口が使われました。

A社はB社とは今回が初めての取り引きであり、請求と入金についてメールで複数回やり取りを行っていました。そして、そのやり取りの途中で本物のB社担当者からA社担当者に「見積書を差し替える」というメールが送られました。

何らかの手段で攻撃者はこのやり取りを盗聴していたらしく、この正規のメールが送られた翌日に、攻撃者は「再度正しい見積書を送る」というメールと共に偽見積書をA社担当者へ送っています。

このとき攻撃者は同時に前回送った見積書は破棄するよう伝えており、新規の取引だったこともあり、A社は本当の口座情報から差し替えられたことに気づくことが非常に難しくなっています。

この攻撃の巧妙な点は、ビジネスメール詐欺によくある「口座を差し替えてほしい」と言わず、あくまで見積書を訂正したようにしか見えない点です。

この後A社は偽の口座へ入金を行ってしまいますが、送金を依頼した日本の銀行とのやり取りのなかで振込先の銀行がB社とは異なっているという不審な点に気づくことができ、送金を止めることで被害は免れています。

「サイバー情報共有イニシアティブ（J-CSIP） 運用状況 [2019 年 4 月～6 月]」（IPA 独立行政法人 情報処理推進機構）より引用

システム担当者さま必見のお役立ち情報

＼Microsoft 365のバックアップとアーカイブ　どちらもできて月額500円／

ビジネスメール詐欺への対策

では実際にどのような対策を取ればよいのでしょうか。

ビジネスメール詐欺には上記のように様々な攻撃手法があり、「攻撃を受けるか受けないか」ではなく、「いつ攻撃を受けるか」という姿勢で防御策を考えなければなりません。

そのためにはビジネスメール詐欺の手口を知り、社全体でビジネスメール詐欺へのセキュリティ意識を高めておく必要があります。

警察庁のサイバー犯罪対策プロジェクトの「ビジネスメール詐欺に注意」のページでは、被害を防止するための対策として以下の六項目を挙げています。

1. 電話などメール以外の方法で確認
2. メール（アドレス）をよく確認
3. 添付ファイルやリンク先を不用意に開かない
4. ウイルス対策ソフト、OSを最新の状態に更新
5. 不正アクセス対策を徹底する
6. 組織内外での情報共有

しかしこれらの対策だけでなく、送金前に行っているチェック体制を強化するなど、複数の防御層からなる「多層防御」で組織を守りましょう。

メールセキュリティ関連製品・サービス

技術的な対策が難しいとされるビジネスメール詐欺ですが、例えば対策の③「添付ファイルやリンク先を不用意に開かない」は、メールセキュリティソフトやSaaSサービスには対策できる機能を持つものがあります。

また、メールセキュリティソフトも④「ウイルス対策ソフト、OSを最新の状態に更新」と同様ウイルス定義ファイルを常に最新に保つ必要がありますが、SaaS式の場合はそれも自動で更新されるというメリットがあります。

例えば、アンチスパム・アンチウイルスのアプライアンスで国内出荷台数一位を七年連続で獲得したバラクーダネットワークスジャパン社は、不審なメールの本文中に含まれるURLの無害化や、添付ファイルの脅威判定を行うSaaS型のメールセキュリティサービス「Barracuda Essentials for Office 365」を提供しています。

SaaS型メールセキュリティサービス「Barracuda Essentials for Office 365」

• メール本文中のURLの無害化
• 25万台以上の導入済み機器から得た脅威情報が共有され、リアルタイムでの防御と高い防御精度
• 未知の脅威に対しても添付ファイルをサンドボックス内でスキャンし脅威判定

また、本物のドメインから一文字だけ異なる偽物のドメインなどはこれまでSPFなどのなりすましを防ぐ技術でも検出が難しく、②「メール（アドレス）をよく確認」することで人が異変に気付く必要がありました。

しかし、「Barracuda Sentinel」など、AIを使うことでなりすましメールを検出することができるサービスも存在します。

BEC（ビジネスメール詐欺）をAIで防止するSaaSサービス「Barracuda Sentinel」

• スピアフィッシング（特定個人を狙ったフィッシングメール）をリアルタイムに検出しブロック
• アカウント乗っ取りの防御

製品の詳細資料をご希望の方はお気軽にお問い合わせください！