トヨタ子会社も40億円の被害 「人を操る」ビジネスメール詐欺の最新手口：Google、Metaすらだまされた

ビジネスメール詐欺（BEC）は、技術的な脆弱性ではなく「人間の心理と信頼」を突く。GoogleやMeta、トヨタ子会社といった巨大組織すら、巧妙な偽請求書やCEO成り済ましに屈し、数十億円規模の損失を出している。情シスが講じるべき現実的な対策を浮き彫りにする。

[Amanda Scheldt，TechTarget]

　ビジネスメール詐欺（BEC：Business Email Compromise）は、現代の組織が直面する最も深刻な脅威の1つで多額の金銭的被害をもたらす。従来のフィッシングとは異なる特徴を持ち、技術的な脆弱性ではなく、人間の心理を突く高度なソーシャルエンジニアリングを駆使する。こうした攻撃は、甚大な金銭的損失や法的問題、業務の混乱を招く。組織にとって対策は急務だ。

ビジネスメール詐欺の種類

「ビジネスメール詐欺（BEC）」に関する編集部お薦め記事

　BEC攻撃の目的は、従業員を欺いて送金させたり、機密データを共有させたりすることにある。サイバー犯罪者は事前調査を徹底する。組織内のやりとりを観察し、正規ユーザーに成り済まして攻撃を実行する。

　主なBECのシナリオは以下の通りだ。

• CEO・役員詐称：経営幹部に成り済まし、担当者へ至急の送金を指示する
• 請求書の偽装：信頼できる取引先を装い、支払先口座の変更を要求する
• 法的機関への成り済まし：機密情報を扱う法務チームを装い、データの転送を求める
• 給与・人事担当者への成り済まし：従業員に成り済まし、給与振込口座や源泉徴収票情報の変更を指示する
• アカウント乗っ取り：フィッシングなどで入手した認証情報を使い、正規のアカウントを完全に支配する
• ディープフェイク：AIによる音声合成や動画生成を使い、リーダー層からの依頼を偽造する

ビジネスメール詐欺の実例

　BECは、権威への服従や職場の文化といった心理を突くため、極めて有効な手法だ。近年、従業員が巧妙に操られた事例をいくつか紹介する。

MetaとGoogle

　2013年から2015年にかけて、エバルダス・リマサウスカス氏らのグループがMetaとGoogleを標的にした。彼らは台湾のハードウェアサプライヤーであるQuanta Computerに成り済ました。ラトビアに同名の偽会社を設立し、偽の請求書や契約書を送り付けた。Googleは2013年に2300万ドル、Metaは2015年に9800万ドルの被害を受けた。最終的に両社は被害額の大部分を回収した。リマサウスカス氏には禁錮5年の判決が下った。

Ubiquiti Networks

　2015年、IT企業のUbiquiti Networksで従業員を詐称する手口が発生した。香港子会社の財務部門に偽の支払い要求が届いた。17日間で14回にわたり、計4670万ドルが犯罪者の口座へ送金された。この攻撃は当初、全く気付かれなかった。2021年3月時点で同社が回収できたのは1860万ドルにとどまっている。

FACC

　2016年、オーストリアの航空宇宙部品メーカーであるFACCで、ウォルター・ステファンCEO（当時）を装う攻撃が起きた。財務部門の従業員に、企業買収資金として5000万ユーロの送金を求めるメールが届いた。発覚後、一部の支払いは阻止できた。しかし、既に送金された4200万ユーロはいまだに回収できていない。

セーブ・ザ・チルドレン

　2017年、国際的な非営利団体（NPO）のセーブ・ザ・チルドレンが被害に遭った。犯罪者が従業員のメールアカウントを乗っ取り、アジアのプロジェクトに関する偽の請求書を送付した。同団体は約100万ドルを失ったが、保険によってその9割を回収した。

トヨタ紡織

　2019年、トヨタ自動車の主要サプライヤーであるトヨタ紡織の欧州子会社が標的となった。取引先を装った犯人が、財務・経理部門に口座情報の更新を要求した。要求は「至急対応しなければ部品生産が滞る」という脅しを含んでいた。従業員はだまされ、約3700万ドル（約40億円）を外部口座へ送金した。資金の回収状況は不明だ。

ケンタッキー州レキシントン市

　2022年、ケンタッキー州レキシントン市の職員に地元のNPOを装うメールが届いた。口座情報の更新を求める内容だった。職員は別ルートでの確認手順を怠り、変更を処理した。その結果、連邦政府の家賃支援金など約400万ドルが不正な口座へ送金された。詐欺の発覚後、金融機関によって一部の資金は迅速に凍結された。

　こうした事件による損失の合計は数億ドルに達する。多くの組織が資金を回収できずにいる。BECが危険なのは、高度なハッキング技術ではなく、人間の信頼や組織の階層を悪用するからだ。犯罪者はAIによるディープフェイクなどの新技術も取り入れ、手口を洗練させている。組織は従業員教育を徹底し、送金時の確認手順を厳格化すべきだ。不審な要求に、誰もが声を上げられるセキュリティ文化の構築が必要である。