ビジネスメール詐欺(BEC)による被害を防ぐための事前策

IT・情報セキュリティ

 最近、ビジネスメール詐欺により被害を受ける企業が増えていると聞きました。被害を避けるために行うべき事前の対策について教えて下さい。

 ビジネスメール詐欺への対策を行うには、まずその手口を把握する事が重要です。そのうえで、以下を中心とした対策が有効だと考えられます。

  1. 正規のものとは異なるメールアドレスをチェックするシステムを導入する
  2. HTML形式のメールは使用しない
  3. メールアカウントのセキュリティを高める
  4. メール自体の信頼性を高める
  5. 添付ファイルにはあらかじめ取り決めたパスワードを設定する
  6. 振込先口座や担当者が変更された際のフローを厳格にする

解説

目次

  1. ビジネスメール詐欺とは
  2. ビジネスメール詐欺の手口
    1. メールアカウントの乗っ取り
    2. 経営者等へのなりすまし
    3. 第三者へのなりすまし
    4. 情報の詐取
  3. ビジネスメール詐欺への対策
    1. 正規のものとは異なるメールアドレスをチェックするシステムを導入する
    2. HTML形式のメールは使用しない
    3. メールアカウントのセキュリティを高める
    4. メールの信頼性を高める
    5. パスワードの設定
    6. 振込先口座や担当者を変更する際のフローの確認

ビジネスメール詐欺とは

 ビジネスメール詐欺(Business Email Compromiseといいます、以下「BEC」といいます)とは、犯罪者が取引先や経営者を装って担当者をだまし、送金取引にかかる金銭や情報を詐取する、インターネット上の振込詐欺です。

 実際の被害例として、ある航空会社では振込先口座が変更された偽の請求書が電子メールに添付されて届き、この請求書を本物であると信じた担当者は、指定された振込先口座に対して複数回振込を行ったことにより、計約3億8,000万円を詐取されました。

 また、ある有名ブランドの日本法人の社長は、海外本社の経理部長名で振込指示の電子メールを受け取り、これを信じて部下に指示を出し振込を行ったため、計3億円を詐取されました。これにより、社長は解任され、海外本社から損害賠償を請求されたとのことです。

 ほかにも、カナダの地方自治体では、地元建設会社の財務責任者名で銀行口座が変更されたとの電子メールを受け取り、これを信じて、104万カナダドル(約8,300万円)を詐取されました。ただし、同市の場合は、裁判所命令によって銀行口座を凍結させたことにより、38万ドルが回収できたとのことです。

 このように、犯罪者が取引先や経営者を装って指定した偽の銀行口座に振込むように促され、金銭をだまし取られる被害が海外を中心に広がっており、日本においても複数社が被害に遭っています 1

 米国インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)の発表によれば、2013年10月から2018年5月までに報告されたビジネスメール詐欺の発生件数は78,617件、被害総額は125億3,694万8,299米ドルにものぼっており、甚大な被害をもたらしています 2。また、トレンドマイクロ株式会社による「ビジネスメール詐欺に関する実態調査 2018」では、日本所在の法人等の情報セキュリティ担当者ら1,030人を対象に調査を行ったところ、全体の約4割がビジネスメール詐欺の攻撃を受けた経験があると回答し、送金依頼メール受信者(253人)のうち8.7%にあたる22人が、実際にだまされて送金しています 3

 また、ビジネスメール詐欺は、金銭をだまし取るだけではなく、情報をだまし取ることもあります。このようなビジネスメール詐欺による被害はどうすれば防ぐことができるのでしょうか。

ビジネスメール詐欺の手口

 まず、ビジネスメール詐欺の手口を紹介します。手口を理解すれば、実際に被害に遭う段階で怪しいことに気が付き、実害を未然に防止できる可能性があります

メールアカウントの乗っ取り

 犯罪者は、担当者(金銭の支払いをする者)または取引先(金銭の受け取りや請求をする者)のメールアカウントを乗っ取り、担当者と取引先とのメールのやり取りを盗み見ます。そして、担当者が取引先から物品を購入したり、サービスの提供を受けたりしたことを見計らい、取引先に似たメールアドレスから、偽の振込先口座を記載した請求書を担当者に送付します。前述の航空会社の詐欺事件では、偽のメールアドレスが用いられたかどうかは不明ですが、正規の取引先から請求書が届いた直後に、偽の振込先口座が記載された請求書を受領していますので、おそらくこの手口による可能性が高いでしょう。

メールアカウントの乗っ取りによるビジネスメール詐欺の被害イメージ

 海外企業と取引する場合、取引先の担当者が署名(サイン)した請求書をPDFファイルに変換して送付することがスタンダードになっています。そのため犯罪者は、担当者と取引先の間に不正に入り込み、請求書のPDFファイルを入手、振込先口座のみを犯罪者の用意した銀行口座に書き換えて担当者に送付します。偽の請求書を受領した担当者は、偽の振込先口座以外の部分である取引先企業のロゴや取引先担当者の署名、金額等は相違ないため、本物の請求書であると信じてしまいます。取引先をかたった犯罪者は、「いま使っている銀行は監査のため使えない」「税金対策のために指定した口座へ振込んでほしい」「最近こちらの口座を使いはじめたからこちらに振込んでほしい」などの理由を巧みに使いわけます。

 ほかにも、前述の航空会社の詐欺事件と同様に、取引先が本来の請求書を送付した直後に、犯罪者から「誤った銀行口座を記載したので、添付の請求書に差し替えてほしい」などの文言とともに、偽の振込先口座に書き換えた請求書を添付したメールが送付されてくる場合もあります。

 偽の請求書は、PDFファイルの振込先口座部分のみテキストや画像データを貼り付けて犯罪者の口座に書き換えることが多いため、ほかの部分よりもクリアな画質になっていることが特徴的であり、正規の請求書と比較するとよりわかりやすく判別できる場合があります。もっとも、今後はより精巧に書き換えられる可能性があること、新規の取引先の場合には、過去に請求書のやり取りをしていないために比較対象がなく、偽の請求書かどうかの判別ができないことがあり得ます。

 犯罪者は、担当者に気付かれないように、偽の請求書を送り付けたメールの送信元(From)のメールアドレスには、本来の取引先のメールアドレスから送付されたように設定し、返信先(Reply-to)には用意した偽のメールアドレスを指定しておくことで、仮に担当者が確認のために取引先にメールを返信した場合であっても、犯罪者が用意した偽のメールアドレスに届くよう設定されていることもあります。

偽のメールアドレスを送信先(Reply-to)とした犯罪者によるメールイメージ

経営者等へのなりすまし

 犯罪者が、担当者の上司や経営者をかたり、偽の振込先口座を指示して振込ませる方法です。普段あまり連絡を取らない経営者や海外本社からの振込指示の場合は、そのような偽の指示も不自然かどうかの判断ができず、だまされてしまいます。

 経営者等のメールアカウントが乗っ取られた場合は 2-1.と同じ手口を使われる可能性がありますが、それだけではなく、突然経営者等からメールが送付され、担当者が知らない案件について振込指示をされれば、担当者はそれまでのやり取りを把握していないため、だまされてしまいます。前述の有名ブランド日本法人社長の詐欺事件は、本手口によるものと考えられます。

第三者へのなりすまし

 犯罪者が、経営者から指示を受けた会計士や弁護士になりすまして、偽の振込先口座を指示して振込ませる方法です。普段、このような第三者と連絡を取ることがないと、2-2.と同様に不自然かどうかの判断ができませんので、だまされてしまいます。

情報の詐取

 犯罪者が、経営者や人事担当者になりすまし、担当者やほかの従業員の情報をだまし取る方法です。金銭を詐取するだけではなく、このように情報を詐取するビジネスメール詐欺も確認されています。

 ビジネスメール詐欺は、犯罪者が、担当者または取引先、あるいはその双方のメールアカウントを乗っ取って、メールのやり取りを盗み見ていると考えられます。しかし、正規のメールアカウントを悪用してメールの送受信をすると、乗っ取られた担当者は身に覚えのないメールの送受信履歴に気付く可能性が否定できないことから、犯罪者は、正規のメールアドレスに似たドメインを取得しておき、ビジネスメール詐欺を実行する場合には、似たドメインのメールアドレスを本物と思わせてやり取りをしている事例が多々存在します。

 担当者と取引先とのやり取りが、次に示すようなドメインを含んだメールアドレスとのやり取りになっていないか、あるいは、そのようなドメインが登録されていないかを確認しておくことで、ビジネスメール詐欺による被害を事前に防止できる場合があります。

自社または取引先のメールアドレスのドメインに似たドメインが存在するかの確認

例)自社または取引先のメールアドレスのドメインが user@companyname.com の場合

  1. user@companyname-jp.com
  2. user@comparyname.com、user@cornpanyname.com
  3. user@companyname-ex.com、user@companyname-co.com、user@companysname.com
  4. user@compa yname.com
  5. user-companyname@freemail.com

  1. companyname-jpは取引先企業が所在する国名のトップレベルドメインによって変更されます。取引先が日本に所在する企業の場合はcompanyname-jp.comですが、中国に構える企業の場合はcompanyname-cn.com、シンガポールにある企業であればcompanyname-sg.comになります 4
  2. 文字の入れ換え等により、メールアドレスの一部を誤認しやすくしています。
  3. メールアドレスのドメインに関係のない文字を追加しています。
  4. メールアドレスのドメイン中の文字を削除しています。
  5. フリーメールサービスを使いそれらしいメールアドレスを作成しています。

ビジネスメール詐欺への対策

 ビジネスメール詐欺への対策についていくつかの例を示します。こうした対策は、システムの検討や導入はシステム部門、リスクの判断や被害発生時の対応の策定については法務部門、振込フロー等に関しては経理部門が検討のうえ、連携して進めることを推奨します。

正規のものとは異なるメールアドレスをチェックするシステムを導入する

 受信したメールアドレスが過去のメールアドレスと同じかどうかを確認できるシステムを導入します。または、返信するときは、必ず以前やり取りしていたメールアドレスかどうかを確認します。

HTML形式のメールは使用しない

 HTML形式のメールを使用すると、偽のメールであっても、Webページから取引先企業のロゴ画像を取得するなどしてメールの本文に正規のロゴを表示させることや、本物の取引先のリンクURLを表示させているにもかかわらずクリックすると偽のリンク先にアクセスするような偽装もできてしまい、被害に遭ってしまうことがあります。そのため、業務に支障をきたさないのであれば、HTML形式のメールは取り扱わず、プレーンテキストで表示するように設定しましょう。

メールアカウントのセキュリティを高める

 メールアカウントを乗っ取られないようにワンタイムパスワードの設定や指紋認証などの多要素認証を導入したり、メールアカウントのログインがあった場合はスマートフォンにショートメッセージ等のアラートメールを受領するようにしたりして、メールアカウントのセキュリティを高めましょう。

 また、メールサーバーにアクセスした履歴をすべて保存しておけば、メールアカウントが乗っ取られたことが発覚した場合に、どのような操作をされたのかが後からわかるようになりますので、このような対策も有効です。

メールの信頼性を高める

 メールの信頼性を高めるために、電子署名や、メールを暗号化するシステム(TLS/SSLやS/MIME等)を導入する方法があります。ただし、取引先も同様のシステムを導入していなければやり取りができないのが難点です。

パスワードの設定

 メールではない経路(契約書締結時、対面時、電話会議など)によって十分長く複雑な強度のあるパスワードをあらかじめ伝えておき、添付ファイルには必ず決められたパスワードを設定してやり取りをします。そうすることで、このパスワードが破られない限りは、メールのやり取りを盗み見た犯罪者も請求書ファイルを開けないため、書き換えることができません。

 ただし犯罪者が、「パスワードを設定し忘れた」と嘘をついて、パスワードを設定せずに偽の請求書を送付してくるケースや、「今回添付した請求書は違うパスワードを設定したから、以下のパスワードで解除をお願いします」との連絡をしてくる場合も考えられますので、注意が必要です。

 また、取引先から「パスワードを忘れたからメールで送付してほしい」と依頼されても教えてはいけません。その取引先が本当の取引先であったとしても、犯罪者が取引先のメールアカウントを乗っ取ってしまえば、メールに記載されたパスワードを見ることができてしまうからです。また、犯罪者が取引先をかたって連絡してきているかもしれません。このような場合は、メールではない別の伝達経路、例えば電話などを使ってパスワードを伝えるべきでしょう。メールで送付してしまうと犯罪者にもパスワードを入手されてしまうことになりますので、慎重に対応すべきです

振込先口座や担当者を変更する際のフローの確認

 金銭を取り扱う担当者は、振込先口座や担当者の変更が生じた場合の報告フロー、確認フローを厳格にすべきです。たとえば、ある国の企業と取引をしていた際、同じ国の銀行への口座変更ならまだしも、別の国の銀行口座に変更することはあまり考えられません。そのような場合は、「変更通知を文書等で送付するよう依頼する」「契約時に交換した連絡先に連絡して直接確認する」ことなどを徹底すべきです。

 なお、偽の請求書を送付してきたメール本文に記載されているメールアドレスや電話番号は犯罪者のものですので、連絡しても犯罪者とのやり取りになってしまいます。必ず契約時に交換した連絡先に連絡して、取引先と確認をするようにしましょう

 担当者が、大量の請求書を処理する業務を担っている場合には、このような偽のメールアドレスや偽の請求書を1つ1つチェックして見破ることは非常に困難といえます。また、日常の取引においても振込先口座を変更する企業との取引が多い場合には、偽の振込先口座へ変更された請求書であってもだまされたことに気付きにくいでしょう。このような場合には、前述のシステム的な対応を検討すべきです。


  1. 独立行政法人情報処理推進機構(IPA)「【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口」(2017年4月3日、2018年8月27日最終更新)
    独立行政法人情報処理推進機構(IPA)「【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報)」(2018年8月27日) ↩︎

  2. Federal Bureau of Investigation(FBI) Internet Crime Complaint Center(IC3)「BUSINESS E-MAIL COMPROMISE THE 12 BILLION DOLLAR SCAM」(2018年7月12日) ↩︎

  3. トレンドマイクロ株式会社「「ビジネスメール詐欺に関する実態調査 2018」を発表 ~約4割がビジネスメール詐欺の攻撃を受けた経験あり~」(2018年8月14日) ↩︎

  4. 日本ネットワークインフォメーションセンター「国コードトップレベルドメイン(ccTLD: country code TLD)一覧」 ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する