「ビジネスメール詐欺」(BEC)なぜ多発? 「ほぼ全企業が標的」との推計も現状と対策を解説

米連邦捜査局(FBI)のインターネット犯罪報告書によると、2017年の「ビジネスメール詐欺」(BEC)による損失は6億7600万ドル以上に達した。BECの現状と対策のポイントを解説する。

2018年11月22日 05時00分 公開
[Michael HellerTechTarget]
画像

 保険会社Beazleyの調査レポート「Beazley breach insights」の2018年7月版によると、「ビジネスメール詐欺」(BEC)が増加の一途をたどっている。その背景には何があるのか。BECは、人の心の隙を突く「ソーシャルエンジニアリング」による問題としての側面と、技術的な問題としての側面のどちらが強いのか。

 ソーシャルエンジニアリングの手法を駆使して標的をだまし、犯罪者一味の一員の口座や住所に、資金や物品を送らせる詐欺が、BECだ。その横行を伝える報告書は、Beazley breach insightsだけではない。メールセキュリティベンダーのAgari Dataも自社の調査報告書で、2017年下半期に企業の96%がBECの標的にされたと推計している。

 BECを仕掛ける攻撃者は、事前に標的の詳細情報を調査する。企業Webサイトやインターネット検索、ソーシャルメディアを通じて、企業の役員の名前と肩書、業務スケジュール、組織構造に加え、商品/サービスの詳細などを収集する。これらの情報を使って、正規のビジネスメールそっくりのメールを作成する。これらのメールは、上級経営幹部や実際のパートナーから送信されたように装い、受信者に対して支払いや物品の発送を依頼する内容となっている。場合によっては、攻撃者はこうしたメールを送信した後、電話でフォローの連絡をする。

 インターネット犯罪についてまとめた米連邦捜査局(FBI)の報告書「2017 Internet Crime Report」(2017年版)によると、BECの詐欺メールは以下の5種類に大別できる。

  • 偽の請求書を送る
  • CEOになりすます
  • アカウントを侵害する
  • 弁護士になりすます
  • データを窃取する

 同報告書によると、2017年にはBECとメールアカウント侵害による損失が6億7600万ドル以上に達した。小企業から大企業まで合計1万5690件の被害報告があり、業種による被害件数のばらつきはない。

BECが主要な攻撃手段になった理由

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...

news067.jpg

ボストン コンサルティング平井陽一朗氏が語る 日本企業のイノベーションを阻む「5つの壁」
企業の変革を阻む5つの壁とそれを乗り越える鍵はどこにあるのか。オンラインマーケットプ...

news175.jpg

日清食品がカップ麺の1〜5位を独占 2024年、最も手に取られた新商品は?
カタリナマーケティングジャパンは、カタリナネットワーク内小売店における年間売り上げ...