いまさら聞けない「ビジネスメール詐欺」(BEC)とは何か? 1000万円超の被害も企業版振り込め詐欺「ビジネスメール詐欺」の脅威と対策【第1回】(1/2 ページ)

なりすましメールを使った企業版振り込め詐欺ともいわれる「ビジネスメール詐欺」(BEC)。その手口はどのようなものなのか。具体的な被害は。調査結果を交えながら紹介する。

2017年10月24日 05時00分 公開
[山外一徳トレンドマイクロ]

 国内の企業を取り巻くサイバー攻撃の脅威は、深刻さを増しています。2017年2月と3月には、Webサイト関連のソフトウェアに存在する重大な脆弱(ぜいじゃく)性によるWebサイト改ざん、情報漏えいが多発。5月にはランサムウェア(身代金要求型マルウェア)の「WannaCry」、6月には同じくランサムウェアの「Petya」による被害が世界中で発生しました。

 こうしたサイバー攻撃の影に隠れ、企業のビジネスに大きな影響を与える新たな脅威、「ビジネスメール詐欺」(BEC:Business Email Compromise)が全世界に拡大しています。国内での認知はまだ高くありませんが、着実に日本企業に迫ってきています。

 本連載では3回にわたって、このBECの概要や巧妙な手口、そして企業が実施すべき対策について解説していきます。第1回はBECとは何かを理解していただくために、その特徴や被害状況、どのような企業が狙われるのかについてお話します。

ビジネスメール詐欺(BEC)とは

 BECは、企業の従業員をだまして不正な送金処理をさせたり、特定の情報をだまし取ったりする詐欺です。一般的な詐欺と異なるのは、サイバー犯罪者が標的とする企業のメールを盗み見ることで、そこから得られる企業の情報を悪用して被害者をだまそうとする点です。

 標的をだますに当たっては、主に取引先の担当者や、同じ組織の内部の上層部、場合によっては弁護士事務所の担当者を偽るなりすましメールを送り付けるのが特徴です。

 図1は企業の幹部になりすまして偽の送金指示メールを送るBECの代表的な手口の1つです。サイバー犯罪者が最高経営責任者(以下、CEO)になりすますこの手口は、海外では「CEO詐欺」とも呼ばれています。

図 図1 ビジネスメール詐欺の例

 BECの脅威は、ランサムウェアなどのサイバー攻撃と比較しても、その手口が成功した場合の“もうけ”の大きさが特徴です。米国連邦捜査局(FBI)の2017年5月の発表によると、全世界で2013年10月から2016年12月までにBECの被害が4万件以上発生し、被害総額は約53億ドル(約6000億円)に上りました。1件当たりの平均被害額は1000万円以上になる計算です。得られる金額の大きさから、今後もさらに多くのサイバー犯罪者が、BECを用いて攻撃を仕掛けてくることが考えられます。

 BECの手口には大きく2つの特徴があります。1つ目はサイバー犯罪者がさまざまな攻撃を用いて企業のメールを盗み見ること。2つ目の特徴は、人の心の隙を突くソーシャルエンジニアリングを用いた偽の送金指示メールを送ってくることです。

企業のメールを盗み見る

Copyright © ITmedia, Inc. All Rights Reserved.

       1|2 次のページへ

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news140.jpg

中国政府がTikTok売却先としてイーロン・マスク氏に白羽の矢? うわさの真相は……
米国で禁止か売却か――。判断が迫られるTikTokに驚きの選択肢が浮上した。売却先の一つ...

news124.jpg

集客装置としての「イカゲーム」(無料eBook)
残酷なシーンが多いことで知られる作品なのに世界のブランドはなぜタイアップしたがるの...

news117.png

2025年の広告・マーケティング予算、「増加」企業の割合は?
コムエクスポジアム・ジャパンが企業のマーケティング活動における予算や主要な関心事を...