ビジネスメール詐欺とは

SHIFT SECURITY セキュリティの学び場用語・国際規格ビジネスメール詐欺とは

ビジネスメール詐欺とは

2024.03.19 用語・国際規格

ビジネスメール詐欺とは
ビジネスメール詐欺の被害
ビジネスメール詐欺のおもな手口
ビジネスメール詐欺の対策
関連情報

ビジネスメール詐欺とは

ビジネスメール詐欺とは、言葉の通り、ビジネスメールを装った詐欺のことです。

より具体的に言うと、取引先や自組織の上位層（経営者など）などになりすまして、偽の電子メールを送って従業員に入金を促す詐欺行為等を示します。取引口座に対する嘘の情報を、それらしい送信先を偽装することで信じ込ませ、犯罪者が指定する銀行口座にお金を振り込ませようとします。英語でBEC（Business Email Compromise）とも称されます。

ビジネスメール詐欺は、企業の経理・財務部門の方、それ以外にも取引先と金銭的なやり取りを行う方が主な標的になります。

ビジネスメール詐欺の被害

ビッシンビジネスメール詐欺は国内だけでなく海外でも広く行われています。むしろ海外の被害が国内に「輸入」されているといったほうがよいかもしれません。

例えば、米国インターネット犯罪苦情センター（IC3）の年次報告書によると、2021年の年間被害額は約24億米ドルとなっており、年々被害は増大しています。また1件あたりの被害額が多いことも特徴で、米国連邦捜査局（FBI）によると1件あたりの平均被害額は約18万米ドルにもなり、非常に大きな脅威となっています。

国内では、JPCERT/CCが2019年に実施した、国内企業12社を対象とした調査結果で、不正な請求額の合計が24億円であったと報告されています。このように国内でも注意を要すべき脅威であるといえます。
"ビッシング"は、電話や留守電などの音声メディアを用いる点が特徴的です。また、電話に誘導する方法としてSMSやメールを使用することもあり、このように被害者から電話をかけさせる手法をリバース・ビッシングと呼ぶ場合があります。

ビジネスメール詐欺のおもな手口

ビジネスメール詐欺のおもな手口は大きく二つに分類されます。

取引先との請求書の偽造

取引先担当者や自組織の担当者（例えば営業担当者など）を騙る攻撃者が、経理担当者などに対し、従来の口座が何らかの理由で利用できなくなったという偽の情報をもとに、メールにて取引口座が異なる請求書を送付するという手口です。この場合は実際の取引に関するメールが盗み見られていて、いざ実際の請求といった段階で偽メールを送るといった手の込んだ手口も多く確認されています。

攻撃者が経営者などを装う

極秘の企業買収で至急振り込みが必要になった、といったもっともらしい理由をつけて振り込みを要求してくるといった手口です。その際に、極秘なので振り込んだことは内密にしてほしいなどの説明を行うことで発覚を遅らせるようなこともありえます。

IPAの調査によれば、請求書の偽造手口では海外の取引先や関連子会社などを装った英文のメールが多く、一方で日本語によるビジネスメール詐欺の事例はいずれも経営層を装った手口でした。

ビジネスメール詐欺の対策

「ビジネスメール詐欺という詐欺が存在する」ということを意識して、ビジネスメール詐欺として典型的な、振込先の急な変更や組織上位層からの極秘な振り込み指示などがあった場合には最大限の注意を払うことがまずは前提です。

ビジネスメール詐欺は非常に巧妙な手口で被害者を騙そうとします。しかし最終的には攻撃者のメールアドレスに返信を行って欲しいわけですから、メールの宛先や返信先を詐称している可能性が考えられます。メールアドレスを注意深く観察し、正しいドメイン名に偽装したドメイン名であったり、宛先と異なる返信先が指定されていたりしないかを確認するようにしましょう。

また、当然ですが少しでも不審な点があったら、送信者に電話などの手段で直接確認することも大事です。不審な点として、いつもと違った表現や文体、誤字脱字などが確認ポイントになります。

ビジネスメール詐欺では実在のメールのやり取りを盗み見て、そこで得られた情報を用いうることがよくあります。したがってそもそもメールの盗み見などを許容しないように、ウィルス対策ソフトの導入や不審な添付メールを開かない、OSやソフトウェアは適宜バージョンアップするといった日ごろからのセキュリティ対策も重要です。