日経 xTECH副編集長/日経NETWORK編集長の勝村 幸博
[画像のクリックで拡大表示]

 想像してほしい。あなたが、いつものように取引先と仕事のメールをやり取りしていたとする。そして、いつものように月次の請求書が添付されて送られてきたとする。いつもの文面で、請求書もいつもの形式。テンプレートに基づいて、年月と金額だけを変えているように見える。

 いつものように処理しようとすると、取引先から、件名に【修正版】と書かれたメールがすぐに送られてきた。先ほど送られてきた請求書の修正版が添付されている。税務調査の都合で、振込先を今回だけ変えてほしいとのこと。

 確かに、請求書を見ると振込先の口座だけが変わっている。だが、振込先口座の名義は取引先の会社名だ。メールの文面も至ってまとも。ご丁寧にも、何か問題があれば連絡してくださいと書かれている。メールの最後の署名もいつもと寸分違わない。

 この【修正版】メールを、あなたは偽メールだと疑えるだろうか。この修正版の請求書をいつものように処理してしまった担当者を責められるだろうか。

正規のやり取りに割り込む

 国内でも猛威を振るい始めたビジネスメール詐欺(BEC)。前述のシナリオは筆者の想像の産物ではない。事例に基づいたシナリオだ。ビジネスメール詐欺は、ウイルス添付メールがいきなり送られてくるような、いわゆるばらまき型の攻撃とは全く異なる。

ビジネスメール詐欺の例
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)やサイバー情報共有イニシアティブ(J-CSIP)などが注意を呼びかけているように、正規のメールのやり取りをじっくり盗聴し、ここぞというところで詐欺目的の偽メールを差し込んでくる。

 どういったメールがやり取りされているのか、攻撃者は十分に心得ている。しかも、ビジネスのメールは定型になりやすい。このため、メールの内容から怪しいと判断するのは至難の業だ。被害に遭った企業の担当者だけを責めるのは余りにも酷だろう。

この先は会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら