いまさら聞けない「ビジネスメール詐欺」（BEC）とは何か？ 1000万円超の被害も：企業版振り込め詐欺「ビジネスメール詐欺」の脅威と対策【第1回】（1/2 ページ）

なりすましメールを使った企業版振り込め詐欺ともいわれる「ビジネスメール詐欺」（BEC）。その手口はどのようなものなのか。具体的な被害は。調査結果を交えながら紹介する。

[山外一徳，トレンドマイクロ]

　国内の企業を取り巻くサイバー攻撃の脅威は、深刻さを増しています。2017年2月と3月には、Webサイト関連のソフトウェアに存在する重大な脆弱（ぜいじゃく）性によるWebサイト改ざん、情報漏えいが多発。5月にはランサムウェア（身代金要求型マルウェア）の「WannaCry」、6月には同じくランサムウェアの「Petya」による被害が世界中で発生しました。

　こうしたサイバー攻撃の影に隠れ、企業のビジネスに大きな影響を与える新たな脅威、「ビジネスメール詐欺」（BEC：Business Email Compromise）が全世界に拡大しています。国内での認知はまだ高くありませんが、着実に日本企業に迫ってきています。

　本連載では3回にわたって、このBECの概要や巧妙な手口、そして企業が実施すべき対策について解説していきます。第1回はBECとは何かを理解していただくために、その特徴や被害状況、どのような企業が狙われるのかについてお話します。

ビジネスメール詐欺（BEC）とは

　BECは、企業の従業員をだまして不正な送金処理をさせたり、特定の情報をだまし取ったりする詐欺です。一般的な詐欺と異なるのは、サイバー犯罪者が標的とする企業のメールを盗み見ることで、そこから得られる企業の情報を悪用して被害者をだまそうとする点です。

　標的をだますに当たっては、主に取引先の担当者や、同じ組織の内部の上層部、場合によっては弁護士事務所の担当者を偽るなりすましメールを送り付けるのが特徴です。

　図1は企業の幹部になりすまして偽の送金指示メールを送るBECの代表的な手口の1つです。サイバー犯罪者が最高経営責任者（以下、CEO）になりすますこの手口は、海外では「CEO詐欺」とも呼ばれています。

図1　ビジネスメール詐欺の例

　BECの脅威は、ランサムウェアなどのサイバー攻撃と比較しても、その手口が成功した場合の“もうけ”の大きさが特徴です。米国連邦捜査局（FBI）の2017年5月の発表によると、全世界で2013年10月から2016年12月までにBECの被害が4万件以上発生し、被害総額は約53億ドル（約6000億円）に上りました。1件当たりの平均被害額は1000万円以上になる計算です。得られる金額の大きさから、今後もさらに多くのサイバー犯罪者が、BECを用いて攻撃を仕掛けてくることが考えられます。

　BECの手口には大きく2つの特徴があります。1つ目はサイバー犯罪者がさまざまな攻撃を用いて企業のメールを盗み見ること。2つ目の特徴は、人の心の隙を突くソーシャルエンジニアリングを用いた偽の送金指示メールを送ってくることです。

併せて読みたいお薦め記事

メールセキュリティについてもっと詳しく

• 「個人用Gmailの業務利用」はどう考えても危険、それでも使う？
• 社員が怪しいリンクを踏んだ、そのときセキュリティチームはどう動くべきか

メールの“うっかりミス”にどう対処するか

• Uberのミスに学ぶ、従業員への間違いメールに正しく対処する方法
• ホワイトハウスへのハッキングを成功させた「偽メール」の正体とは？

企業のメールを盗み見る