独立行政法人情報処理推進機構は毎年、「情報セキュリティ10大脅威」を公開してます。このブログでは、第5位の「ビジネスメール詐欺による金銭被害」を学びます。

課長、おはようございます～。

おはよう！　仕事の調子はどう？

はい、なんとか大きなミスなく進んでます！　昨日もフィッシングメールを見破ったんですよ。

いいね～！　フィッシングには巧妙なものが増えているから、引き続き気をつけないとね。

そうなんですか！？　もっと勉強しないとですね。そういえばフィッシングのひとつにビジネスメール詐欺があると思うんですけど、よくわからなかったので教えてください！

それは知っとかないと、だね。ビジネスメール詐欺は、英語では「Business E-mail Compromise」、略して「BEC」とも呼ばれているんだ。

なるほど～、普通のメール詐欺とどう違うんですか？

普通のメール詐欺は、不特定多数に対して大量に送られるけど、ビジネスメール詐欺は、特定の企業内個人に標的を絞って送られるんだ。普通のメール詐欺は特定のサービスのIDとパスワードといったアカウント情報を盗もうとしたり、マルウェアに感染させようとしたりするんだけど、ビジネスメール詐欺はそんなことはしないんだよ。

IPAでは、ビジネスメール詐欺を次の5つのタイプに分類しているよ。

• 取引先との請求書の偽装
• 経営者等へのなりすまし
• 窃取メールアカウントの悪用
• 社外の権威ある第三者へのなりすまし
• 詐欺の準備行為と思われる情報の詐取

具体的にはどんな内容のメールが届くんですか？

例えば、社長になりすまして特定の口座への入金を指示したり、製品開発情報など企業の重要な情報を子会社などに送るよう指示したりするんだ。あとは、取引先になりすまして「振込口座が変わりました」と、振込先口座の変更を依頼したりするメールもあるよ。だから、ビジネスメール詐欺は財務関連の担当者に送られることが多いんだ。

ビジネスメール詐欺の例
出典：「ビジネスメール詐欺「BEC」に関する事例と注意喚起（続報）
～ あらゆる国内企業・組織が攻撃対象となる状況に ～」（IPA）
https://www.ipa.go.jp/files/000068781.pdf

詐欺メールだと気づかずに送り主や内容を信用して、なりすました相手に金銭や重要な情報を送ってしまうってことですね。

その通り。そのため甚大な被害を受けるケースが多いことが特徴だね。アメリカのFBIによると、2018年までの3年間で約262億ドル（約2兆8,500億円）以上、2018年の一年間だけでも2万件以上の被害が発生していて、その被害総額は約13億ドル（約1450億円）に上るそうだよ。

すごい金額！　ビジネスメール詐欺ってけっこう前からあるんですね。

表面化したのがそのくらいの時期だから、以前から行われていると考えた方が自然だよね。日本でも2019年に航空会社がビジネスメール詐欺の被害に遭っていて、被害総額は約3億8000万円といわれてる。ビジネスメール詐欺は、買収や契約などを悪用するため、被害金額が非常に大きくなるのが特徴だね。

なんでこんなに簡単に騙されちゃうんですか？

いろんな手法があるけど、犯人は標的とする企業の動向にすごく詳しい。これは多分、犯人は標的とする企業のメールシステムに侵入して、社内外でやり取りされているメールを盗み見しているからなんだ。例えば、高額な支払いなどが決定されると、その直後に詐欺メールが届いたりするんだ。

知らない間にメールを盗み見してるなんて、怖すぎます！　でも、犯人はどうやって企業システムに侵入してくるんですか？

犯人はまず標的を決めて、その企業のメールシステムへの侵入を試みる。例えば、従業員に対してフィッシングメールを送って、メールシステムのアカウント情報を盗み出したり、企業のシステムにある脆弱性を悪用して侵入して、メールシステムに不正アクセスしたりすることもあるんだ。

そうやって侵入してメールのやり取りを見ながら、ビジネスメール詐欺のメールを送るタイミングを見計らってるってことですか？

そうなんだよ。犯人はずっとメールを見ているから、取引のある会社や担当者、それらのメールアドレスや署名、メールの書き方の特徴まで把握できる。これは特殊な例だけど、社長のメールアカウントに侵入して、そこからビジネスメール詐欺のメールを送られたケースもあるんだよ。まさに正規のメールが届くんだから、詐欺メールだと気づくことはすごく難しいよね。

想像してたよりめちゃくちゃ手が込んでて、びっくりしました！　で、今でもビジネスメール詐欺って発生してるんですか？

ビジネスメール詐欺については、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が、2020年6月に「ビジネスメール詐欺の実態調査報告書」を公開してるんだけど、わかっているだけで日本国内の企業で約120件のビジネスメール詐欺が発生してるんだって。日本語の文面も多く、違和感のない文章だから、犯人グループに日本人がいる可能性もあるんじゃないかな。

ちゃんと対策してないと、知らない間に騙されちゃいそうですね…。課長、ビジネスメール詐欺に引っかからないようにするにはどうしたらいいんですか？

ビジネスメール詐欺もフィッシング詐欺と同様に「人の脆弱性」を狙ってくるから、システム的な対策だけでは難しいんだ。ただ、ビジネスメール詐欺の前段階の攻撃となる、アカウント情報を盗み出そうとするフィッシングメールに気づくことで、攻撃を受ける可能性を大幅に減らすことができる。

請求書の偽装については、「支払い済みの請求や請求書の体裁が不自然」「見慣れない地域への送金指示」などで気づくことができる可能性もあるよね。少しでも不審な部分があれば、相手に電話などのメール以外の手段で確認をすることも有効だよね。

セキュリティ対策ソフトは使ってるんですけど、それだけだと不十分ですか？

セキュリティ対策ソフトも日々、進化しているから、効果的な製品もあるよ。例えば、シマンテックのメール保護サービス「Symantec Email Security.cloud Service（ESS）」は、Safeguardの機能によってビジネスメール詐欺を検知できるんだ。これは、送信者や受信者、メールに含まれる内容を条件として、企業のポリシーに沿ったメールの処理を行える。

語句リストやファイルタイプ、サイズ、正規表現などをポリシーに設定できるから、請求関連のメールなどを検知し、上長や経営者に転送して確認するようにすれば、ビジネスメール詐欺の被害を受ける可能性を大きく下げることができるよね。

ESSによるビジネスメール詐欺対策

自分ひとりで判断して送金しちゃったりしたら危険ですもんね！　ESSについてもっと詳しく教えてください！

ESSは総合メールセキュリティサービスで、メールの受信ルートにSymantecのデータセンターを経由させることで、安全なメールだけを受信できるようにする仕組みなんだ。ビジネスメール詐欺のメールをはじめ、マルウェアメールやフィッシングメール、スピアフィッシング、標的型攻撃、スパムメールにも対応できる。

また、メールの本文にあるURLリンクはURLレピュテーションによって世界中のユーザーから得た最新の情報をもとに安全性を判断するほか、URLをリダイレクト（転送）先まで安全性をチェックして、安全なもののみ配信したり、ユーザーがリンクをクリックした場合にもESSが再度リンク先を検査し、危険なものはアクセスを遮断したりできる。

添付ファイルも機械学習などにより高度に安全性を検査し、判断が微妙なものはサンドボックスで実行させ、安全性を判断する。クラウドサービスなので管理が容易なこともメリットだね。

なるほど～。いろいろな機能がついていて、心強い味方になってくれそうですね。まさに企業が選ぶべきメールセキュリティサービスって感じです！　課長、ありがとうございました。私、もっと勉強してみます！