【年末年始に急増!】ビジネスメール詐欺の手口と対策

2021.11.25

詐欺に狙われているビジネスマン

さまざまなサイバー攻撃がある中、近年組織への脅威として上位にランクインしているのが『ビジネスメール詐欺による金銭被害』です。IPA(独立行政法人情報処理推進機講)の発表によると、ビジネスメール詐欺の被害総額は2015年約2億4,600万ドル、2016年約3億6,100万ドル、2017年約6億7,600万ドルと年々増加し、2020年には約18億6,700万ドルまで増加していると報告されています。日本ももちろん例外ではありません。巧妙化するビジネスメール詐欺の被害に遭わないために、企業全体で対策をとる必要があります。

今回はビジネスメール詐欺の手口と対策についてご紹介します。

ビジネスメール詐欺ってなに?

ビジネスメール詐欺とは、取引先や標的となる企業の幹部、弁護士など第三者になりすました攻撃者が偽のメールを送り付け、送金取引に関わる資金を偽の口座に送金させるサイバー攻撃です。攻撃者は偽のメールを送るために事前に情報を摂取し、企業の従業員や取引先のメールアドレスを入手したり企業と取引先とのメールのやり取りを盗聴したりしています。このような巧妙な手口によって、被害者はビジネスメール詐欺を見抜けず、年々被害総額が増加しています。
また、2020年4月には新型コロナウィルスに関連したビジネスメール詐欺が増加しています。

事例から学ぶビジネスメール詐欺の手口

『取引先担当者を装い、偽の口座へ入金するよう誘導した』事例を基にビジネスメール詐欺の手口について詳しくご紹介します。(以下「被害を受けた企業=A社、取引先企業=B社」とします。)

ビジネスメール詐欺の事例

まず、ビジネスメール詐欺被害に遭うまでの一連の流れについてご紹介します。

取引関係にあるB社担当者よりA社担当者へ正規の請求書がメールで送られました。その翌日、B社担当者になりすました攻撃者はA社担当者へ『修正版の請求書を送る』といった内容で偽の振り替え口座が記載された請求書をメールで送りつけました。メールにはB社担当者が送ったメール内容を引用されていたため、攻撃者は何らかの方法でA社とB社のメールでのやり取りを盗み見ていたようです。また、攻撃者はA社担当者になりすましB社担当者に『仮支払日』の偽メールを送りつけ、A社とB社が連絡を取り合わないように時間稼ぎをしました。

今回の事例は仮支払日にB社担当者よりA社担当者へ支払い状況の問い合わせがあり、詐欺被害にあったことが発覚しました。その後A社は速やかに銀行へ送金の取り消しを実施し、銀行間での送金の取り消しを行うことができた為、結果としてA社は金銭的な被害には至りませんでした。

ビジネスメール詐欺の事例

ビジネスメール詐欺の騙しの手口

次に、今回の事例を基に詐欺の手口について解説します。

詐欺用ドメインの取得
攻撃者はA社とB社それぞれの正規の*ドメインに似通ったドメイン(*正規のドメイン名を1文字変更したもの)を取得し、偽メールに使用していました。

情報の窃取
ビジネスメール詐欺を行うために、事前に*フィッシング攻撃や情報を窃取するウィルスを使用し、企業・取引先のメールアドレスやメールのやり取りといった情報を窃取していました。

請求書の偽装
A社担当者とB社担当者のメールでのやり取りを盗み見ていた攻撃者は、B社担当者がA社担当者に請求書を送った翌日に修正版と称し、偽の修正版請求書を送りつけました。さらに、前日にB社担当者が送ったメールの内容を引用していました。

*ドメイン
@マーク以降の部分。インターネット上の住所のような役割を持っており、同じ登録名が重複しないように全世界で一元的に発行・管理されています。
*記号やスペルを1文字変更するなど・・・「 . 」⇒「 _ 」 / 「 a 」⇒「 e 」

*フィッシング詐欺
送信者を詐欺した電子メールを送りつけ、偽装サイトにアクセスするよう誘導し、個人情報・企業データ・クレジットカード情報などを盗み出す行為のこと。

攻撃者に狙われているパソコン

ビジネスメール詐欺への4つの対策

以下、ビジネスメール詐欺への対策を4つご紹介します。

社内の意識教育

ビジネスメール詐欺は『企業間とのコミュニケーションにはメールが必要不可欠である』という点を悪用した巧妙な騙しの手口です。また、取引先だけでなく、グループ会社同士のやり取りにおいても発生しています。そのため、全グループ会社の全従業員に対してビジネスメール詐欺への意識を高める必要があります。

送金処理のチェック体制

ビジネスメール詐欺による被害防止のために送金時のチェック体制を強化することも非常に重要です。
金銭を取り扱う担当者は通常と異なる対応(役員等権威のある立場からの通常の手順とは異なる支払い依頼や、突然の口座変更・メールアドレスの変更など)を求められた場合は、ビジネスメール詐欺を疑い、信頼できる方法で入手した連絡先に電話などの手段で事実を確認する・別の担当者とダブルチェックするといった方法で送金処理のチェック体制を作りましょう。

返信先への対策

ビジネスメール詐欺では、フリーメールや自組織に似通ったドメインのメールアドレスを用いて攻撃してきます。メールを返信する際は返信先のメールアドレスが正しいかどうかを確認しましょう。
また、送信元(Fromヘッダ)を正しい送信者のメールアドレスに偽装し、返信先(Replay-Toヘッダ)を攻撃者のメールアドレスにする手口もあります。送信元(Fromヘッダ)と返信先(Replay-Toヘッダ)に相違がないかも併せて確認しましょう。
※メールソフトのオプションより、メールの返信先を送信元ではなく『送信先の指定』で設定したメールアドレスに届くように設定できます。

メールソフトのオプション画面

フィッシング・ウィルス・不正アクセスの対策

事例にあったようにビジネスメール詐欺では、攻撃は偽メールを送りつけてくる前に、何らかの方法でメールを盗み見ている場合があります。そのため基本的なフィッシング対策・ウィルス対策・不正アクセスを行うことを推奨します。

まとめ

以上、ビジネスメール詐欺の手口と対策についてご紹介しました。

― ビジネスメール詐欺ってなに?
― 事例から学ぶビジネスメール詐欺の手口

― ビジネスメール詐欺への4つの対策

巧妙なビジネスメール詐欺の被害に遭わないためには、社内間で日頃からビジネスメール詐欺への意識を高める必要があります。また、『送金チェック』といった監視体制を整え、万が一被害に遭った場合の迅速な対応体制を整えておきましょう。

社内LAN・Wi-Fi環境診断
一覧に戻る