(※この記事は、2024年4月19日に更新されました。)
ビジネスメール詐欺(BEC)は、現代のビジネス環境において深刻な脅威であり、ますます被害が拡大しているサイバー攻撃の一種です。
メールの普及により、サイバー犯罪者は「ビジネスが築き上げた信頼」を簡単に悪用して、組織や個人に被害を与える手段を編み出しました。
このような詐欺は、単なる技術的な脆弱性だけでなく、人々の心理や社会的な仕組みにもうまく入り込んできます。
そのため、このようなサイバー攻撃には、その事態を理解して、適切な対策を講じることが不可欠です。
そこで本記事では、ビジネスメール詐欺について、手口や過去の事例から対策まで見ていきます。
【目次】
ビジネスメール詐欺とは
ビジネスメール詐欺(BEC)とは、攻撃者がメールを使って企業や個人に詐欺を働く手法のことを言い、BECは「Business Email Compromise」を省略したものです。
ビジネスメール詐欺の手口には、次のようなものがあります。
-
CEO 詐欺:サイバー犯罪者が CEO や役員を装い、企業の従業員に送金や機密情報の提供を求めるメールを送信する。手口としては、急な要求や緊急性を強調して、相手を騙そうとするのが一般的。
-
ワイヤートランスファー詐欺:サイバー犯罪者が企業の従業員や取引先に対して、偽の請求書や支払い指示を送り、法外な金額を送金させるように誘導する。
-
供給業者詐欺:詐欺師が企業とそのサプライヤーや取引先との間の通信を傍受し、支払先の銀行口座情報を偽造して送り、企業から支払いを受け取ることを企む。
-
データ侵害詐欺:サイバー犯罪者が企業のシステムに侵入し、従業員や顧客の個人情報を盗み出したり、企業のシステムを乗っ取って機密情報を盗むことを企む。
昨今のビジネスメール詐欺は非常に巧妙で、専門家でも簡単に騙されてしまうことがあります。
では、過去にどのような被害があったのか見てみましょう。
ビジネスメール詐欺の事例
ビジネスメール詐欺(BEC)の被害は、日本国内でも出ています。以下に主な事例を上げてみましょう。
JAL(日本航空株式会社)
JAL(日本航空株式会社)は、2017年に2件のビジネスメール詐欺にあっています。どちらも何者かが実在する取引先 になりすまして、詐欺メールを送り、それを信じた担当者が普段と違う銀行口座(偽口座)に送金をしてしまいました。
1件目の被害は、貨物事業所の地上業務委託料であり、支払いを行う際に、偽の銀行口座を指定する詐欺メールに騙された担当者が、約2400万円(2か月分の支払い)をその偽口座に送金しました。
2件目は旅客機のリース料の請求であり、支払先の担当者になりすましたサイバー犯罪者が偽の請求書を JAL に送付し、それを信じた担当者が、請求書に記載されていた3.7億円(旅客機3か月分のリース料)をその偽の銀行口座に送金しました。
東芝
2022年7月、「株式会社東芝」のアメリカの子会社が経営幹部を装った攻撃者から指示を受け、それを信じた従業員が約5億円を香港に送金しました。そして後ほどその指示が虚偽であることが判明しました。
スリー・ディー・マトリックス
東証グロースに上場している医療製品メーカーである「株式会社スリー・ディー・マトリックス」では、取引先になりすました攻撃者が、原料代金の支払い 約86万ドルについて、支払先の変更依頼メールを送り、これを信じた従業員がそれに応じて偽の銀行口座に送金しました。
その後、別の取引の一部 約50万ドルについても偽のメールに記載されている指示に応じて偽の銀行口座へ支払ってしまい、2件あわせての136万ドルの被害になりました。
ビジネスメール詐欺の原因
では、なぜこのような被害にあってしまうのでしょうか。その原因として以下が挙げられます。
-
信頼性への依存:攻撃者は人が一般的に抱く信頼を悪用しており、社内の従業員や取引先を装うことで信頼を得ようとする。取引先や従業員は、送られてくる巧妙に作られた偽メールに騙され、指示に従ってしまう可能性がある。
-
技術的な脆弱性の悪用:ビジネスメール詐欺は、例えば、なりすましメールによるメールアカウントの侵害や、偽の Web サイトへのリンクを含むメールなど、技術的な脆弱性を利用することで行われる場合がある。
-
社内の情報漏洩:サイバー犯罪者は、社内の情報や従業員の業務に関する情報を入手し、それを利用して信頼を得ようとすることから、社内からの情報漏洩があると、それが詐欺行為の標的となる可能性が高くなる。
-
不十分なセキュリティ意識と教育:従業員や組織がビジネスメール詐欺のリスクや手口に対する知識が乏しい場合、意識改革や従業員教育など、一から対策を講じるのは大変になる。日頃からの適切なセキュリティ意識向上の教育や訓練がなされていなければ、詐欺行為に対する防御力は低くなる。
ビジネスメール詐欺の対策
では、ビジネスメール詐欺の被害を防ぐにはどのような対策を立てればいいのでしょうか。
ビジネスメール詐欺に対する対策としては、以下のような方法が効果的です。
-
セキュリティ意識の向上:経営陣や管理職がセキュリティ意識をリードし、組織の重要性を強調する。また、セキュリティのポリシーや手順を定め、全従業員にその周知を徹底させる。定期的なセキュリティ意識向上のトレーニングやセミナーの実施も有効。
-
従業員の教育とトレーニング:ビジネスメール詐欺やフィッシング攻撃などの具体的な脅威について従業員に教育し、セキュリティポリシーや手順の理解と遵守を従業員に促す。また、フィッシングメールの特徴や不審なメールの見分け方をトレーニングする。
-
強力なパスワード管理ツールの導入:機密情報を管理するには強力なパスワード管理ツールが有効であり、アクセスできる人を制限したり、強力なパスワードを作る機能が付いていれば、悪意のある第三者による侵入を防ぐことができる。
このような対策を組み合わせることで、ビジネスメール詐欺を事前に防ぐことができますが、意識改革やトレーニングは時間がかかるものです。
そのため、早急な対策をするのであれば、強力なパスワード管理ツールを導入するのが一番です。
ただ、コストが掛かったりて設定が難しかったりすると、導入を迷うかもしれませんが、Teampassword だと、すぐに始めることができます。
コストもかからず手軽にサッと始められますが、セキュリティは強力です。
Teampassword でビジネスメール詐欺対策
Teampassword には、ビジネスメール詐欺の対策で使える強固な機能があります。いかにいくつかご紹介しましょう。
強力なパスワードの生成
Teampassword には、ランダムで複雑なパスワードを生成する機能があり、これにより、従業員はセキュアなパスワードを使うことができます。
また、強力なパスワードを使うことで、アカウントが悪意のある第三者によって不正にアクセスされるリスクが下がります。
安全な保存と管理
Teampassword には、機密情報は暗号化されたデータベースに安全に格納されます。
また、Teampassword で管理されている情報は、誰がいつアクセスしたかや、何が変更されたかなど、何かしらの動きがあればリアルタイムで記録され、その都度メールでお知らせが来るように設定することもできます。
二段階認証(2FA)
ビジネスメール詐欺では、サイバー犯罪者が従業員や取引先のアカウントに侵入して、偽のメールを送信したり、機密情報を盗み出したりすることがあります。
Teampassword には2FAがあるので、アカウントに不正アクセスが試みられた場合でも、追加の認証情報が必要となることから、不正なアクセスを防ぐことができます。
Teampassword を活用して、ビジネスメール詐欺を未然に防ぎましょう!
無料トライアルにサインアップして、Teampassword の強固なセキュリティをぜひご体験下さい。
