ビジネスメール詐欺は、いまやあらゆる企業や組織にとって見過ごせない脅威の1つです。経営幹部や取引先などになりすました業務依頼メールを発端として、金銭や機密情報をだまし取られる被害が相次いでいます。近年では日本語による巧妙な手口も確認されており、今後、ますます注意が必要なサイバー攻撃といえるでしょう。
ビジネスメール詐欺とは
「ビジネスメール詐欺」とは、不特定多数を狙ったスパムメールやフィッシングメールとは異なり、ある特定の組織や個人へ、経営層や取引先などになりすまし偽メールを送って入金や口座変更等をさせる金銭的被害をもたらすサイバー攻撃です。
メールの内容は、ターゲットとなる組織に関係する情報をもとに受信者が騙されやすい巧妙な内容になっていることもあります。
「ビジネスメール詐欺」は、IPA(独立行政法人情報処理推進機構)が選出した「情報セキュリティ10大脅威2019」においても2位となっており、1位の「標的型攻撃メール」や3位の「ランサムウェア」と同様に注意が必要な脅威といえるでしょう。
情報処理推進機構「情報セキュリティ10大脅威2019」より引用
https://www.ipa.go.jp/security/vuln/10threats2019.html
「ビジネスメール詐欺」の攻撃手口
「ビジネスメール詐欺」は経営層や取引先などになりすましメールのやりとりを通して金銭的被害をもたらします。以前までよく見られた「スパムメール」や「フィッシングメール」であれば、差出人が怪しい、本文が不自然な日本語や他の言語(英語や中国語など)であることから簡単に見抜くことが出来できました。しかし、ビジネスメール詐欺では、業務メールに酷似した差出人やメールの件名、本文、署名などに加え、やりとりの中で付加されたCC等や引用部分の改ざんなど様々な手口を駆使しており、簡単に見分けることができません。
具体的なビジネスメール詐欺の事例としては、攻撃者がターゲットとなる会社の社員と取引先のメールのやりとりを盗聴します。取引先の人物になりすましターゲットに対して偽の口座番号に振り込むように伝えます。すると、受信した社員がそのメールを疑うことなく、攻撃者の口座に振り込んでしまい金銭が詐取されてしまいます。また、取引先からターゲットにメールが送信されないように、ターゲットの社員になりすまし取引先ともやりとりを続け、詐欺の発覚を遅らせているのです。
また、ビジネスメール詐欺のメールアドレスには、正規のドメインに酷似した偽のドメインが利用されています。そのため、メール受信者が不審なメールを見抜くために、メールアドレスに注意して、ドメイン名を確認することが重要になります。
ビジネスメール詐欺によっておこる被害と影響
標的型攻撃メールと攻撃手口が似ていますが、目的が異なります。標的型攻撃メールの場合、組織の機密情報や知的財産に関する情報など、何らかの情報を盗み取ることが目的です。一方、ビジネスメール詐欺の場合、金銭的な被害に集中しています。
実際の事例としても、取引先や経営層に成りすましたメールに騙され高額の被害にあっています。2018年には日本語のビジネスメール被害が初めて報告されるなど、今後も増えていくと予想されています。
被害を最小限に抑えるために必要なこと
被害を受けた原因は不審なメールの内容が巧妙であり担当者がそれに気づかず、見分けられなかったことです。組織のセキュリティ対策を強化することや、社員に不審なメールを見抜くための教育を実践することや電話などメール以外の方法で確認することなどでビジネスメール詐欺の被害に遭う確率は低減できるでしょう。
しかし、社員全員がこのようなメールを完全に見分け・被害を出さないというのは非常に困難です。
怪しいメールを受信した際に社員がどのような対応をすべきかルール化し、社員全員に周知・徹底させ、しかもビジネスメール詐欺が発覚した時に、被害拡大を最小限に抑えなければならないのです。
ビジネスメール詐欺への対策
- 社員の教育…不審なメールを見抜くための教育
- メール以外の確認手段…電話など、メール以外の方法で確認する
- 社内規定の整備…ビジネスメール詐欺を念頭に置いた規定の整備
- ルールの決定…詐欺メール受信時に社員が対応すべきルールの決定
- ルールの周知・徹底…詐欺メール受信時に社員が対応すべきルールの周知・徹底
- 共有…怪しいメールに関する情報を社内外に共有
