「上司の頼み」が会社を壊す? 被害28億ドルのBECが突く“日本的組織”の死角:被害は2万件超え
上司を装い送金や情報提供を迫る「ビジネスメール詐欺」(BEC)の被害件数は減る様子がない。犯罪グループがつけ込む人間の弱点と企業が講じるべき対策を整理する。
上司から緊急のメールが来た。
「重要なクライアントとの食事中だけど、コーポレートカードを忘れてしまった。これから食事代の精算をしないといけない。カードの番号を送ってほしい。この経費は明日承認する」
もしあなたがこのメールを受信した場合、どのように対応するだろう。メールは確かに上司が送ったように見える。「困っている上司の役に立って、存在感をアピールしたい」と考えるかもしれない。
このストーリーは、「ビジネスメール詐欺」(以下、BEC)の核心を突くものだ。成功した時に高い収益を見込めるBECは、増加の一途をたどっている。届いたメールがBECかどうか、どのように見分ければいいのか。
詐欺師が好きな従業員の弱点は?
BECは、不正に入手した特定の企業の情報を基に上司や経営幹部になりすまし、従業員に情報の窃取や不正な送金を促す攻撃だ。一般的なフィッシング攻撃とは異なり、BECは心理や職場の慣習を利用してメール受信者を欺く点に特徴がある。
BECが効果的な理由は以下だ。
- 「予期せず届く」(unexpected)
- 想定外のメッセージが突然届く事態に、受信者の警戒心は薄れる。
- 「プロフェッショナリズムに訴えかける」(appeal to our professionalism)
- 上司に信頼されたい、メンバーとして役に立ちたいという受信者の心理を刺激する。
- 「緊急性」(urgency)
- 迅速な対応が必要であることを強調してプレッシャーを掛け、受信者に冷静な検証をさせない。
- 「正当性」(legitimacy)
- 送信元の巧妙なメッセージを読み、受信者はそのメッセージが実在の従業員や取引先が送ってきたように誤解、信用する。
米連邦捜査局(FBI)が2025年4月に公開した調査レポート「Internet Crime Report 2024」によると、BECの被害件数は2万1422件、損失額は約28億ドルに達している。同レポートの調査結果は、2024年に米インターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)に寄せられた被害の申告を基に作成されている。
BECから従業員を守るには
BECで被害や損失が発生する前に企業がやるべきことを整理する。
- メールセキュリティを強化する
- スプーフィング(なりすまし)、マルウェア、不審なリンクや添付ファイルを探知し、削除やアラートの発報につなげるゲートウェイとフィルターを導入する。
- メールセキュリティプロトコルを導入する
- ドメインのなりすましを防ぐため、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication, Reporting and Conformance(DMARC)をする。
- ユーザーのアクセス保護を強化する
- 不正アクセスからメールアカウントを守るため、多要素認証(MFA)の導入とアクセス制御を強化する。
- アクセス制御とアカウントを管理する
- 最小権限の原則を適用し、適時にアカウントを無効化する。
- メールの自動転送を無効化する
- アカウントの乗っ取り、データの漏えいを防ぐため、外部メールアドレスへの自動転送を無効化する。
- ログインや財務関連の動向を監視する
- 異常なログインの検知、休日や業務時間外の送金依頼、顧客や取引先の口座番号、住所、電話番号の突然の変更を監視する。
- 継続的な啓発教育を実施する
- 従業員向けに、BECの見分け方を周知する機会を設ける。
最後に
適切なセキュリティ対策が整っていれば、詐欺メールを受信する可能性を低くすることができる。詐欺メールを受信した場合は、そのメールを疑い、メール以外の手段で依頼の真偽を確認し、IT部門に報告することが肝要だ。言われた通りに言われたことをして詐欺に引っかかるよりも、BECに遭わないことの方が上司にとっては幸せだ。
Copyright © ITmedia, Inc. All Rights Reserved.