企業同士のやり取りや企業内の社員同士のやり取りでは、Eメールがまだまだ主流で使われていますよね。
そんなEメールを悪用し詐欺行為を行う被害が増えており、「ビジネスメール詐欺」として話題になっています。経営幹部や取引先になりすまして送られてきたメールに騙されて、会社のお金や機密情報を盗みとられる被害が急増しているのです。
ビジネスメール詐欺について、会社全体で危機感を持って対処していかなければどの会社でも被害に遭う可能性があります。
今回はそんなビジネスメール詐欺について、これまでの被害事例や手口、被害に遭わないための対策について解説していきます。
ビジネスメール詐欺とは
ビジネスメール詐欺とは、冒頭でも少しお伝えしたように、経営幹部や取引先になりすましてターゲットとなる会社の従業員をだまし、送金取引などを持ちかけて会社の資金をだまし取るサイバー攻撃を指します。
詐欺行為を行う準備として、企業内で使われているパソコンに悪意のあるプログラムやソフトウェアであるマルウェアを使って企業内の従業員の情報を盗み取ることが多いです。
なお、英語では「Business E-mail Compromise」とも呼ばれておりビジネスメール詐欺のことをBEC詐欺と呼ぶこともあります。国内だけでなく海外でも大きな被害をもたらしていて今後も増え続けることが予想されます。
ビジネスメール詐欺の被害事例
ビジネスメール詐欺の被害はこれまでにも数多く報告されています。この章では、その被害事例を見ていきます。
JALの詐欺被害
2017年12月20日に、日本航空(JAL)が会社に送られてきた偽の請求書メールに騙されてしまい約3億8,000万円の詐欺被害に遭ったと発表しています。
詐欺の犯人はJALと取引先とのメールのやり取りに割り込み、取引先になりすまして、詐欺メールを送り自分の口座に振り込ませたのです。偽の請求書には「振込先の口座が香港の銀行に変更されました」と書かれており、それを信じたJALの担当者が指定された口座に3億円以上もの金額を振り込んでしまったのです。
スカイマークの詐欺未遂事件
2016年6月、スカイマークに取引先の担当者と名乗る人物から約40万円を支払うようにとの偽の請求書が届きました。その内容は「支払先を香港の銀行口座へと変更してください」というものでした。 スカイマークの担当者は騙されて振り込もうとしましたが、運よく口座が凍結されていたため詐欺未遂に終わり被害を免れました。
トヨタ紡織ヨーロッパの詐欺被害
2019年9月にヨーロッパとアフリカ地域の自動車のシート開発や販売を行っているトヨタ紡績ヨーロッパが、ビジネスメール詐欺被害に遭い約40億円が流出したことを発表しました。 偽の取引メールの指示によって騙された経理担当者が約40億円を送金をしてしまいました。 約40億円もの資金が流出したため、トヨタ紡織は2020年3月期の業績予想の修正をせざるを得ず、経営にも大きなダメージが出てしまっています。
ビジネスメール詐欺の巧妙な手口
ビジネスメール詐欺ではかなりの大金をだまし取るため、どの詐欺被害でもメールの信ぴょう性が高いものであるという共通点があります。 具体的にどのような手口で行われているのか解説していきます。
事前にターゲットに関する情報を入手する
ビジネスメール詐欺ではメールの信ぴょう性を高めるために企業間でやり取りしているメールを盗み見したり、ネット上で公開されている企業情報を調べ上げたりしてターゲットとなる企業のプロジェクトや社内外の人間関係を把握しています。 そのため、手口はかなり巧妙なものになっているのです。
なお、社内のメールを盗み見るためにフィッシング詐欺を使う手口とキーロガーを使う手口が代表的です。フィッシング詐欺はシステムの担当者になりすまして、偽のログインページを用意し、従業員にアカウント情報を入力させるという手法です。キーロガーはパソコンのキーボード入力の記録を保存する不正プログラムのことで、記録されたキーボード入力のデータを解析することで様々なアカウント情報などを割り出す手口です。
信ぴょう性の高そうなメールで騙す
フィッシング詐欺やキーロガーの方法でアカウント情報を入手したり、企業間のビジネスメールを盗み見たりした犯人が次に行うのは、なりすましのメールを作成してターゲットの企業の従業員に送り、巧みな方法で金銭をだまし取ります。
最近のビジネスメール詐欺では、「経営幹部になりすます方法」と「取引先になりすます方法」、「社外の権威ある立場の人間になりすます方法」の3つのタイプが主流です。 このビジネスメール詐欺のタイプについては次の章で詳しく解説していきます。
最近のビジネスメール詐欺の主な3つのタイプ
先ほどの章で、最近のビジネスメール詐欺で主流になっているのは3つのタイプがあるとお伝えしましたが、その3つについてより詳しく見ていきましょう。
タイプ1:経営幹部になりすます
1つ目のタイプは企業の最高経営責任者や経営幹部になりすまして、経理担当者などの従業員に送金の指示をメール送信し、犯人が前もって用意した口座へ送金させるというパターンです。
経営陣からのメールで「緊急」や「極秘」といった文言が使われていると、早急かつ極秘に送金しなければと経理担当者にプレッシャーがかかるので詐欺の成功率が上がってしまうのです。
タイプ2:取引先になりすます
2つ目のタイプは企業の取引先に成りすまして偽の請求書をメールで送付したり、振込先が変わったと言って変更後の口座に振り込むような内容で送信したりして犯人が管理している口座に送金させるパターンです。
犯人はターゲットとしている企業と取引先とのメールのやり取りを不正に入手していて、実際の取引が進行しているのを確認した上で、振込が発生するようなタイミングを見計らってなりすましメールを送信してくるため、多くの経理担当者が騙されてお金をだまし取られてしまうのです。
タイプ3:社外の権威ある立場の人間になりすます
3つ目のタイプは他の2つのタイプほどは多くありませんが、何件か被害の報告があります。 弁護士や税理士など社会的な権威ある立場の人間になりすましてビジネスメールを送信してきます。
例えば、「自分は社長から指示を受けた弁護士で、以前担当した弁護費用を振り込んで欲しい」といった内容の詐欺メールを経理担当者などに送って、金銭をだまし取るのです。
ビジネスメール詐欺の被害に遭わないためにしておくべき対策
ビジネスメール詐欺の事例を見ても、その手口を見ても、どれほど巧妙に仕組まれているかお分かりになるでしょう。 よほど警戒して日々のビジネスメールをチェックしていなければ、被害に遭うまで気が付かないケースが非常に多いのです。
では、ビジネスメール詐欺被害に遭わないために、どのような対策を取っておくべきなのでしょうか。 具体的な対策についてご紹介していきます。
アンチウィルスソフトを有効化しておく
会社で使われているパソコンにはアンチウィルスソフトが導入されていることがほとんどですが、実際の業務をしていてパソコンの動作が重くなるからという理由でソフトを停止させてしまっている人が意外にも大勢いらっしゃいます。
パソコンがマルウェアに感染してしまうと、ビジネスメール詐欺をしようとしている犯人に取引先とのメールを盗み見されたり、アカウント情報を不正に入手されたりしてしまいますので、マルウェアに感染するのを防ぐためにも、アンチウィルスソフトは必ず有効化しておきましょう。
ただ、「アンチウィルスソフトを使っているから大丈夫」と安心しきらず、普段から不審なメールの添付ファイルは開かないように徹底していくことも大切です。
ソフトウェアを最新の状態にしておく
パソコンのOSやセキュリティソフトなどを常に最新の状態しておくことも重要です。特にセキュリティソフトを最新のものにしておくことで、現時点でわかっているマルウェアの感染を未然に防ぐことが可能になります。
IDやパスワードの管理を徹底する
メールアカウントやクラウドサービスのID・パスワードは厳重に徹底管理することが求められます。特にパスワードは忘れたくないがために単純な文字列にしてしまいがちですが、必ず複数の文字の種種を組み合わせた推測が困難な文字列を使う事が大切です。
なお、同じパスワードを別のサービスで使いまわしている社員も意外に多いですが、同じパスワードは使わないように適切に管理することが重要です。
電子署名をする
電子署名とはPDFデータなどの書類が正式なものであり、改ざんされていないことを証明するためのものです。紙の書類では印鑑やサインを使ってその書類が正式なものであることを証明していましたが、PDFファイルではそれだけでは正式な署名であることが証明しにくいため、印鑑やサインと同様の機能を持つ電子署名が広く普及してきているのです。
電子署名では電子証明書の付与が必要で、電子証明書とは指定認証局が発行している「この電子署名は実在する人物が署名した正式なものである」ということを証明するものです。 PDFデータを受け取った人は電子署名と電子証明書を一致させることで、その書類が改ざんされていないことを確認できるのです。
見知らぬメールやチャットに注意する
ビジネスメール詐欺では、既存の取引先や経営幹部になりすましてメールを送ってくることが一般的なので、もし「いつもと何か違う気がする」「あの人がこんなことをメールでいうのは不自然だ」と感じたら、まずは送信元のメールアドレスをチェックしてみてください。
ビジネスメール詐欺では、本物のメールアドレスの一部分を書き換えて送っていることが多く、「o(オー)」を「0(ゼロ)」にしたり、「1(イチ)」を「l(エル)」にしたりして送ってくるケースが多いです。 加えて、もし受け取ったメールに違和感を覚えたら、相手に直接電話をかけたり本人に会ったりして確認することが重要です。
振込先変更時のフローを強化する
ビジネスメール詐欺では、振込先の口座が変わったというメールが送られてくることも多いです。
そのため、振込先口座の変更が発生した場合に変更通知書類の送付を義務付けたり、担当者に直接電話して確認したりするなどのフローを事前に取り決めておくといいでしょう。 また、複数人でチェックして詐欺に気付けるように、業務の振り分けを一人の担当者ではなく複数人で行うことも効果的です。
万が一詐欺に遭ったとわかったときの体制を整えておく
もし不審なメールを受信したり、詐欺と気が付かずメール指示に従って送金したりしてしまった場合、どのように対応していくかという体制を整えておくことも重要です。 詐欺被害に遭った場合は社内での情報共有はもちろん、取引先などの外部の企業とも情報共有するようにしましょう。
まとめ|万が一ビジネスメール詐欺の被害に遭ったらプロに調査を依頼すべき
ビジネスメール詐欺はかなり巧妙に仕組まれていて準備も入念に行われているため、なかなか未然に気が付いて防ぐことが難しく、いつ自社の従業員がターゲットになるのかわからないという恐ろしさがあります。
しかしビジネスメール詐欺の目的は企業に送金させるという共通点があるため、送金を指示するメールを受信したらまず送信者に電話や対面などで直接確認を取れば予防することも可能です。 そして、万が一ビジネスメール詐欺の被害に遭ってしまったら、探偵など調査のプロに依頼して被害の証拠や犯人を特定するための証拠を取ってもらうのがいいでしょう。