なりすましメールを使った企業版振り込め詐欺ともいわれる「ビジネスメール詐欺」(BEC)。その手口はどのようなものなのか。具体的な被害は。調査結果を交えながら紹介する。
国内の企業を取り巻くサイバー攻撃の脅威は、深刻さを増しています。2017年2月と3月には、Webサイト関連のソフトウェアに存在する重大な脆弱(ぜいじゃく)性によるWebサイト改ざん、情報漏えいが多発。5月にはランサムウェア(身代金要求型マルウェア)の「WannaCry」、6月には同じくランサムウェアの「Petya」による被害が世界中で発生しました。
こうしたサイバー攻撃の影に隠れ、企業のビジネスに大きな影響を与える新たな脅威、「ビジネスメール詐欺」(BEC:Business Email Compromise)が全世界に拡大しています。国内での認知はまだ高くありませんが、着実に日本企業に迫ってきています。
本連載では3回にわたって、このBECの概要や巧妙な手口、そして企業が実施すべき対策について解説していきます。第1回はBECとは何かを理解していただくために、その特徴や被害状況、どのような企業が狙われるのかについてお話します。
BECは、企業の従業員をだまして不正な送金処理をさせたり、特定の情報をだまし取ったりする詐欺です。一般的な詐欺と異なるのは、サイバー犯罪者が標的とする企業のメールを盗み見ることで、そこから得られる企業の情報を悪用して被害者をだまそうとする点です。
標的をだますに当たっては、主に取引先の担当者や、同じ組織の内部の上層部、場合によっては弁護士事務所の担当者を偽るなりすましメールを送り付けるのが特徴です。
図1は企業の幹部になりすまして偽の送金指示メールを送るBECの代表的な手口の1つです。サイバー犯罪者が最高経営責任者(以下、CEO)になりすますこの手口は、海外では「CEO詐欺」とも呼ばれています。
BECの脅威は、ランサムウェアなどのサイバー攻撃と比較しても、その手口が成功した場合の“もうけ”の大きさが特徴です。米国連邦捜査局(FBI)の2017年5月の発表によると、全世界で2013年10月から2016年12月までにBECの被害が4万件以上発生し、被害総額は約53億ドル(約6000億円)に上りました。1件当たりの平均被害額は1000万円以上になる計算です。得られる金額の大きさから、今後もさらに多くのサイバー犯罪者が、BECを用いて攻撃を仕掛けてくることが考えられます。
BECの手口には大きく2つの特徴があります。1つ目はサイバー犯罪者がさまざまな攻撃を用いて企業のメールを盗み見ること。2つ目の特徴は、人の心の隙を突くソーシャルエンジニアリングを用いた偽の送金指示メールを送ってくることです。
Copyright © ITmedia, Inc. All Rights Reserved.
ファイアウォール管理不全が「抜け穴」に 今見直すべき海外拠点のセキュリティ (2025/8/26)
混雑や逆光に弱いウォークスルー顔認証、高精度と高速処理をどう実現するか (2025/8/13)
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
図1 ビジネスメール詐欺の例
