皆さんはビジネスメール詐欺という言葉を聞いたことがあるでしょうか。
世の中には沢山の詐欺が蔓延しています。身近なところでは振り込め詐欺のような個人をターゲットにした詐欺がよく話題に上りますが、個人をターゲットにした詐欺にも、電話をかけたりするアナログなイメージのある詐欺だけではなく、オンラインショップからクレジットカード情報を盗み取るようなIT分野の詐欺も存在します。
ビジネスメール詐欺はそうした様々な手法のある詐欺の中でも企業を標的にした詐欺です。企業をターゲットにした詐欺というのは、古くは地面師や投資詐欺の様なものが主流でしたが、ITを用いた詐欺がここ数年で台頭してきました。ビジネスメール詐欺もその中の1つで、今一番被害件数が多いとも言われている詐欺です。
ビジネスメール詐欺もITを用いた詐欺の一種でその名の通り、企業間取引に使われる電子メールを使用する詐欺です。ビジネスメール詐欺は様々な呼ばれ方があり、BEC(Business Email Compromiseの略)とも企業向けオレオレ詐欺とも呼ばれています。
パターンは様々ですが大きな骨格は次のようになります。
・ 標的は財務や経理、経営層等、送金権限がある人物
・ 顧客や上司、顧問弁護士や司法等、何らかの権限のある人物になりすまし送金の依頼を送る
例えば、シナリオはこうです。
山田さんは国内外とも取引がある商社の経理担当です。山田さんの会社は会計年度末に合わせて膨大な件数の入金送金処理が発生します。年度末を控えたある日、山田さんは一通のメールを受け取ります。
「振込先口座変更の件」
山田さんは使用しているメールソフトで差出人を確認すると取引実績のあるアメリカの会社の経理担当のようでした。本文には昨年末に発注された件の送金先の振込口座を変更して欲しい旨が記載されていました。年度末で膨大な件数の処理をしなければならない山田さんは取引実績のある会社であることと発注処理をした記憶があったのでそのメールの内容を信頼してメールに書かれた口座に振込処理を行いました。
実際にはこの口座変更依頼のメールは詐欺師から送られたもので、山田さんが後日異変に気付いた時には振り込んだ口座は既に解約されていました。
この手法は、出始めの頃は海外送金詐欺と呼ばれていました。それはこの例のように海外送金を行うケースが多かった為です。しかし、2018年夏に日本語のケースが確認されて以降、海外取引のない会社も標的となり、被害は増大しています。
このビジネスメール詐欺はいわゆるばらまき型と呼ばれるフィッシングメール等と違い、標的を絞った上でその標的に合わせた詐欺を行うという点が今までと大きく異なる点です。
ばらまき型に強いセキュリティフィルターでは検知できないケースが多く、実際の取引先になりすます等、標的に合わせて組み立てた詐欺でもあることから見抜くのが難しくなってきています。
更に、なりすまし方にも沢山方法があり、特に乗っ取られたアカウントを使用されてしまうと受信者側は区別することができません。
今回はビジネスメール詐欺の触り部分をお話しましたが、次回以降はもう少し詳細な手口の解説や、どのような対策を行うか等の解説を行っていきます。
被害者にならないために、だけではなく、知らずに加害者の片棒を担ぐこともあるこのビジネスメール詐欺への対策は必須と言えます。
