企業版振り込め詐欺「ビジネスメール詐欺」の脅威と対策【第2回】“社長からのメール”は疑うべき？ 「ビジネスメール詐欺」（BEC）の巧妙な手口 (1/3)

「ビジネスメール詐欺」（BEC）では、サイバー犯罪者が巧妙な手口で、標的組織のさまざまな役職になりすましたメールを使い、犯罪を成功させる。その具体的な手口を見ていく。

[山外一徳，トレンドマイクロ]

　連載第1回「いまさら聞けない『ビジネスメール詐欺』（BEC）とは何か？　1000万円超の被害も」では、世界中で被害が深刻化している新たなサイバー犯罪「ビジネスメール詐欺」（以下、BEC）とは何か、その特徴や被害状況、どのような企業が狙われるのかについて解説しました。第2回の今回は、BECの具体的な手口について詳しく解説します。

BECの代表的な5つのタイプ

　BECは、攻撃者が不正プログラム（マルウェア）など多様な手段で企業の業務メールを盗み見て得た情報を基に、巧妙ななりすましメールで不正送金、情報窃取といった詐欺行為をするサイバー犯罪です。既に国内外の企業でBECの被害が報告されており、なりすます人物、詐欺の内容などによって以下に示す5つの代表的なタイプが確認できています。

• 経営幹部になりすます
• 取引先になりすます
• メールアカウントを侵害して、担当者になりすます
• 弁護士になりすます
• 標的企業の従業員・幹部の個人情報を窃取する

　それぞれのタイプについて、詳しく見ていきます。

1. 経営幹部になりすます

　1つ目は、サイバー犯罪者が標的企業の経営幹部を装い、財務部門の担当者や責任者に偽の送金指示メールを送る手口です（図1）。海外では最高経営責任者（以下、CEO）を装った手口が一般的で、CEOをかたったメールを金融機関に直接送り、偽の送金処理をさせるケースもあります。そのため、このタイプは「CEO詐欺」とも呼ばれています。

図1　経営幹部になりすます手口のイメージ

　サイバー犯罪者は事前に盗み見た業務メールの情報を用いるなどして、経営幹部を装ったメールを巧妙に作成します。例えば過去の業務メールのやりとりを記載して、あたかも送金指示が本物かのように見せかけるなど、一見しただけでは、なりすましメールだと判断しにくいようにしています。

　なりすましメールの送信元メールアドレスのドメインには、サイバー犯罪者がなりすましている人物の所属組織の正規ドメインに類似したものが使われる傾向があります。サイバー犯罪者は受信者を動揺させるため、極秘案件を装ったり、「至急対応願う」「緊急のお願い」といった内容を件名や本文に記載したりすることがあります。経営幹部の外出中など、メール受信者が内容の真偽を確認することが難しいタイミングを狙って、偽の送金指示メールを送ってきた事例も公表されています。

併せて読みたいお薦め記事

メールセキュリティについてもっと詳しく

• いまさら聞けない「ビジネスメール詐欺」（BEC）とは何か？　1000万円超の被害も
• 「個人用Gmailの業務利用」はどう考えても危険、それでも使う？
• 社員が怪しいリンクを踏んだ、そのときセキュリティチームはどう動くべきか

メールの“うっかりミス”にどう対処するか

• Uberのミスに学ぶ、従業員への間違いメールに正しく対処する方法
• ホワイトハウスへのハッキングを成功させた「偽メール」の正体とは？

2. 取引先になりすます