セキュリティとガバナンス

BEC(ビジネスメール詐欺)とは?国内外の事例を一挙公開

海外のビジネスに精通している方の中には、BECをご存じの方もいるかもしれません。BECとは、ビジネスメール詐欺のことを指します。海外では被害が拡大していますが、実は日本でもBECは発生しており、注意が必要です。本記事では、BECの概要や国内外での事例、対策などについて解説します。

BEC(ビジネスメール詐欺)とは?国内外の事例を一挙公開

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

BEC(ビジネスメール詐欺)とは

BECとは、Business Email Compromiseを略した言葉で、日本語ではビジネスメール詐欺という意味です。呼び名から推測できるように、電子メールを利用したサイバー犯罪の一種で、世界のさまざまな国で被害が発生しています。

特徴として挙げられるのは、被害額の大きさです。その累計被害総額は、約3兆円近くにものぼるといわれています。「海外の詐欺は規模が大きい」と感じた方がいるかもしれませんが、事件はわが国でも発生しているため、決して対岸の火事ではありません。

事実、警察庁のサイバー犯罪対策プロジェクトが、注意喚起を促す文書を発表しました。具体的な手口や、対策などについても公表しており、危機感を募らせていることが理解できます。

さまざまな手口がありますが、基本的には電子メールを用いてターゲット企業の社員をだまし、金銭を詐取するケースがこれまでに確認されています。しかも、犯行は用意周到で、事前に入念な下準備をしていることが多く、見破ることが困難なのも特徴です。

国内外のIoT先進事例100選
Azure Cosmos DB 自習書 - Azure Cosmos DB Gremlin API 編 -

BEC(ビジネスメール詐欺)の手口

ビジネスメール詐欺にはさまざまな手口がありますが、まず攻撃者は標的とする企業を徹底的に調査します。お金をだましとろうとする会社の役員や、取引先の担当者になりすまして偽のメールを送るためです。社内の人間関係や、取り組んでいるプロジェクトの内容を調査することもあるといわれています。

情報収集や調査に、マルウェアが使用されるケースもあるようです。マルウェアとは、悪意のあるソフトウェアや悪質、不正なプログラムなどの総称です。サイバー犯罪で使用されることが多く、金融データや個人IDの詐取などにも用いられます。攻撃者は、マルウェアを使用して、標的とする企業の社員、役員などの個人情報を奪い、なりすますためのメールアドレスを把握するのです。

このように、事前に入手したさまざまな情報をもとに、攻撃対象とする企業へ偽のメールを送信します。攻撃者は、取引先の担当者になりすまし、請求メールや請求書を送付するのです。お金をだましとるため、請求書に記載されているのは攻撃者側の振込先ですが、文面や書式もあらかじめ調査済であり、偽物であることを見抜くのは困難です。

また、攻撃対象とする企業の人物になりすます手口も確認されています。経営に関わる重役を装い、社員に自分たちの口座へお金を振り込ませる手口です。ほかにも、社長や会長の弁護士を装い社員にお金を振り込ませる手法や、メールアカウントをのっとり、偽の請求書を送付して資金を詐取する手口もあります。

BEC(ビジネスメール詐欺)の攻撃・被害事例

すでに世界各地で大規模な被害が発生しているBECですが、実際のところどのような被害事例があるのでしょうか。実は、日本航空やトヨタ紡績など、日本でなじみのある企業も被害を受けています。詳しく見ていきましょう。

日本航空(JAL)

2017年、日本航空(JAL)はBECの被害に遭い、3億8,000万円にもおよぶ金額を詐取されました。このケースでは、取引先を装った攻撃者から偽の請求書を送付され、担当者が疑いなく現金を振り込んでいます。

請求書には、振込先を香港の銀行口座に変更した、との旨が記載されていたとのことです。多少なりとも疑念を抱きそうなものですが、受信したメールには普段からやり取りしている担当者の名前が記載されており、メールアドレスも同じだったため信じてしまったようです。その結果、JALの担当者は、疑いをもたずに攻撃者が用意した偽の口座へ入金してしまいました。

この事例では、攻撃者がJALのコンピューターにマルウェアを仕込み、ウイルス感染させて情報を盗みとったと考えられています。やり取りしているメールの内容を見られた、もしくはメールアカウントをのっとられた可能性があると、セキュリティ分野の専門家は指摘しています。

トヨタ紡織ヨーロッパ

ベルギーを拠点とする、トヨタ紡績の子会社も、BEC被害に遭った企業のひとつです。2019年9月6日に、同社がBECにより巨額の資金を奪われたことを発表しました。世間やメディアをにぎわせたこの事件ですが、特筆すべきは約40億円もの大金を詐取されたことです。

この事件では、攻撃者がトヨタ紡績ヨーロッパの取引先を装いました。取引先になりすました攻撃者が、偽のメールで送金を指示し、同社の経理担当者が応じてしまったのです。ただ、その直後に偽のメールであることに気づき、事件が表面化しました。

先述したJALの事件とほぼ同じ手口ですが、これにより同社は約40億円もの資金を失う羽目になり、大きなダメージを受けました。事実、同社はすでに公表していた2020年3月期の業績予想を修正せざるを得なくなったのです。

米国でも学校運営組織がBEC被害

アメリカ合衆国テキサス州マナー市にある学校運営組織、Manor Independent School District(MISD)もBECの被害を受けました。悪意ある攻撃者の魔手により、約230万ドル、日本円にして約2億5,300万円もの金額を詐取されたのです。

事件が起きたのは2019年のことで、同年11~12月にかけ、攻撃者から偽装メールが届きました。このケースでは、3通の偽装メールが複数の担当者へ送信されていることが特徴です。

偽メールには、偽の銀行口座が振込先として記載されていました。注意深くチェックすれば気づけたかもしれませんが、メールを受け取った複数の担当者は、誰も気づけなかったとのことです。その結果、3回にもわたり攻撃者へ送金を繰り返し、総額約230万ドルにもおよぶ大金を詐取されてしまいました。

スカイマーク

JALやANAに次ぎ、国内3位の規模を誇る航空会社スカイマーク。同社は、かつてBECの被害を受けそうになりましたが、間一髪免れています。この事件の発端も、請求書を添付した電子メールでした。

JALの事件と同様に、振込先を香港の銀行口座へ変更する旨が記載されていたとのことです。請求額は約40万円で、担当者は何も疑うことなく振込の手続きをしようとしました。

しかし、結果的に詐欺は未遂に終わっています。担当者が途中で詐欺に気づいたわけではなく、偽担当者から指定された銀行口座が凍結されており、送金を実行できなかったのです。

なお、この詐欺未遂事件が起きた1年4ヶ月後、再びスカイマークへ振込先変更のメールが届きます。しかし、同社は過去の事件から危機意識を高めており、社内での情報共有がしっかりできていたため、被害を未然に防げました。

米国 17カ所・英国 10カ所・カナダ 8カ所の医療機関を狙った攻撃

こちらは、総合病院や大学病院、診療所、製薬会社など医療に携わる機関が標的となった事例です。広範囲かつ多数の医療機関がターゲットとなり、実際被害も発生しています。

この事件では、攻撃者が医療機関の最高経営責任者であるCEOを装い、偽のメールを社員に送信しています。ドメインや送信元を偽装し、社員は偽メールであることに気づけず、約1,584万円もの資金を振り込んでしまいました。

なお、メールの件名には、緊急性を示す文章が記載されていたとのことです。緊急支払、緊急扱いなどと記載されていたため、担当者はきちんと確認をせず慌てて振り込んでしまった可能性があります。

ここまでご紹介してきた事例では、悪意ある者が取引先を装っていました。しかし、こちらの事例では、企業の最高経営責任者を装いだまそうとしていることが特徴です。

経営のトップに君臨する人物から、至急の送金を指示するメールが届いたのなら、現場の人間が大した確認もせず振込してしまうのも納得できます。しかも、この事件では被害に遭った医療機関のドメインと、ほぼ同じに偽装されたものが使用されていました。

BEC(ビジネスメール詐欺)への対策

BECの脅威は決して他人事ではありません。すでに事例でお伝えしたように、日本企業も被害に遭っており、これから先被害が拡大する可能性は十分考えられます。その脅威を裏付けるように、IPA(独立行政法人情報処理推進機構)が2018年に、「ビジネスメール詐欺BECに関する事例と注意喚起」といった文書を公開しているのです。

しかし、いったいどのようにすれば、企業は被害を回避できるのでしょうか。この詐欺は、企業の経営陣や外部の権力者、取引先などを装うため、事前に時間をかけて入念な情報収集とリサーチを行います。そのため、簡単に見破れないことが特徴であり、脅威となっている理由です。

ただ、本記事でお伝えした事例からもわかるように、BECには定番の手口があります。たとえば、振込先銀行口座の変更です。このような手口があることを理解していれば、口座変更を伝えられたときに、すぐ送金してしまうリスクを軽減できるでしょう。

定番の手口を周知するのと同時に、振込先口座の変更といった通知が、本当に取引先から送られているのかどうかを確認するよう、徹底することも重要です。銀行口座の変更が本当なのかどうか、確認するだけならそれほど手間はかかりません。わずかな手間を惜しみ、莫大な資金を流出させてしまっては元も子もないのです。

なお、企業から資金をだましとる手口に使用されるのは、電子メールだけでなく電話も含まれます。これは、振り込め詐欺をイメージするとわかりやすいかもしれません。いずれにせよ、企業の経営者や管理職、財務担当者は、被害を未然に防ぐために徹底した対策を行う必要があります。

まとめ

詐欺の手口は、時代とともに変化しています。社会問題にもなっている振り込め詐欺がどんどん進化しているように、BECも今後どのように形を変えるかわかりません。今後日本で被害が増加する可能性も考えられるため、経営者や財務担当者は、危機意識をしっかりもちましょう。
被害を未然に防ぐには、過去の事例を含め、どのような手口があるかを知ることが大切です。そのうえで、少しでも違和感のある対応を迫られたときには、すぐ行動へ移すのではなく、必ず確認のプロセスを挟みましょう。社内でもきちんと情報を共有し、社員全員で危機意識を高めることが大切です。

SAP on Azure総合カタログ
  • fb-button
  • line-button
  • linkedin-button
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP