ビジネスメール詐欺とは？ 標的型攻撃との違いは？

　「ビジネスメール詐欺（BEC：Business Email Compromise）」とは、狙いを定めた企業に巧妙なメールを送り付け、従業員をだまして偽の口座にお金を振り込ませるなどにより、不正に金銭を奪い取る攻撃手法です。

　このような話をすると「それって、いわゆる標的型攻撃メールのことだよね。ウチの会社はウイルス対策ソフトを入れて、標的型攻撃メール訓練も行っているので大丈夫」と思う方もいるでしょう。

　しかし、残念ながらBECはコンピューターウイルスを使った攻撃ではないので、ウイルス対策ソフトを入れたり、標的型攻撃対策を行ったりしても安全とはかぎりません。

　多くの場合、標的型攻撃は企業などの重要情報を盗むことを目的としています。前回、ご紹介したランサムウェアを用いた攻撃では、情報を盗み、暗号化した上で企業をゆすって金銭を奪おうとします。一方、BECはだましの手口をふんだんに盛り込んだメールを送り付け、受け取った従業員を罠にはめることで企業から金銭を詐取します。

　やっかいなことに、BECは実際のメールのやり取りに巧妙に介入してくるため、メールをやり取りしている当事者が「本物のメール」だとだまされる恐れが高いのです。

　情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」の2021年版でも、「BEC」は組織編の5位にランクインしています。2020年は3位、2019年は2位でしたので、ここ数年、企業を悩ませ続けている"常連の脅威"といえるでしょう。

被害額は数億円！大手企業もだまされたBECの巧妙な手口

　ここからは、実際に日本の某大手企業が受けたBECの被害実例を紹介しながら、BECから身を守るには何が必要かと考えたいと思います。

　ある日、この会社の担当者は、海外の取引先である金融機関からメールを受信しました。本文は振込先口座の変更案内で、訂正版という形で請求書ファイルが添付されていました。

　メールの内容を確認したところ、送信元はいつもやり取りしている会社の担当者名とメールアドレスでした。請求書ファイルを確認したところ、今までの請求書ファイル形式と若干異なる点があったものの、訂正版であるとの説明があったため、担当者は取引先からのメールであると信じて疑わないままやり取りを続け、添付ファイルに記載されていた振込先口座に振り込みました。

　ところが、その後、本物の取引先である海外の金融機関から督促の依頼があったのです。「すでに支払いを済ませていた」と認識していた企業は驚き、改めて調査したところ、偽の振込口座に振り込んでいたことが判明したのです。

　その額は、実に数億円。いかに大手企業とはいえ、決して小さな金額ではありません。すぐに警察に被害届を出しましたが、振り込んだお金はすでに引き出されたあとでした。

　担当者が送信元メールアドレスや担当者名を確認したにもかかわらず、なぜこのようなことが起きてしまったのでしょうか。原因として考えられるのが「アカウント情報の盗難」です。

　攻撃者は、さまざまな手法でアカウント情報を詐取しようとします。たとえば、「○○システムが不調であるため再度ログインを行う必要があります」などと、いかにも会社の情報システム部からの重要連絡であるかのように装ったメールを、さまざまな企業に手当たり次第に送り付けます。そして、偽のログイン画面に誘い出し、情報を入力した人のアカウントを乗っ取るのです。

　いったんアカウントを乗っ取ればメールの盗聴もできるため、インターネット上で本人になりすますことも可能になります。アカウントの使用者が攻撃者だったとしても、アカウント自体は正規のものなので、システム側でそれを攻撃と見破ることは容易ではありません。

【次ページ】BECから身を守る有効な対策は？ アナログのセキュリティ対策も効果的