「ビジネスメール詐欺(BEC)」の被害が後を絶たない。ビジネスメール詐欺は企業版の振り込め詐欺。取引先などをかたった偽のメールを企業の経理担当者に送付し、攻撃者の口座に金銭を振り込ませる。

 2013年ごろから米国などで確認され、その後被害件数が増大。2017年には国内でも大きな被害が出始めた。例えば日本航空(JAL)は2017年12月、3億8000万円の被害に遭ったことを公表した。

 米国の政府組織であるインターネット犯罪苦情センター(IC3)によると、2013年10月から2018年5月までの5年弱の間に発生した世界のビジネスメール詐欺事件は7万8617件で、損失額は合計125億ドル(約1兆3300億円)に達したという。

メールの盗聴から始まる

 ビジネスメール詐欺で攻撃者がなりすますのは、(1)取引先の企業、(2)上司(経営者)、(3)弁護士や法律事務所など権威のある第三者の3種類。例えば、取引先の企業をかたる場合の流れは次のようになる。攻撃者はまず、標的とした企業(支払い側)と取引先企業(請求側)の2社の経理担当者がやりとりしているメールを何らかの方法で盗聴する。

 盗聴により両社の担当者や請求に関する詳細が分かったら、まずは請求側の担当者になりすまし、支払い側に偽の口座を伝え、金銭を振り込ませる。

 攻撃者は支払い側の担当者にもなりすまし、確認中なのでもう少し待ってほしいと請求側の担当者に伝える。請求側の担当者が支払い側の担当者に電話などで確認しないようにするためだ。ただ、攻撃者が支払い側の担当者になりすませない場合には、このやりとりは省かれる。

 さらに攻撃者は、ほかの請求についても前倒しで支払うよう要求し、より多くの金銭を詐取しようする。

口座の変更を要求されたら注意

 ビジネスメール詐欺を実施する攻撃者にとって一番重要なポイントは、金銭の振込先を攻撃者の口座に変更させることだ。振込先口座が実際の請求側のままでは、支払い側をいくらだましても意味がない。怪しまれないように振込先口座を変更させる必要がある。

 例えば、「監査の都合上、口座を一時的に変える必要がある」といって変更させた例が報告されている。

 このことは対策のヒントになる。全く疑いようのない内容のビジネスメールであっても、振込先口座の変更の指示などがあった場合には、必ず電話などで問い合わせるようにすれば、被害を未然に防げる。だが、この対策も回避する恐ろしい手口が確認された(図1)。支払い側と請求側のやりとりに絶妙のタイミングで割り込む手口だ。サイバー情報共有イニシアティブ(J-CSIP)が2019年7月末に公表した。

図1●新たに報告されたビジネスメール詐欺の流れ
サイバー情報共有イニシアティブ(J-CSIP)が2019年7月末に公表したビジネスメール詐欺の新手口。J-CSIPの発表資料を基に編集部で作成した。
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら