トヨタ子会社も40億円の被害 「人を操る」ビジネスメール詐欺の最新手口:Google、Metaすらだまされた
ビジネスメール詐欺(BEC)は、技術的な脆弱性ではなく「人間の心理と信頼」を突く。GoogleやMeta、トヨタ子会社といった巨大組織すら、巧妙な偽請求書やCEO成り済ましに屈し、数十億円規模の損失を出している。情シスが講じるべき現実的な対策を浮き彫りにする。
ビジネスメール詐欺(BEC:Business Email Compromise)は、現代の組織が直面する最も深刻な脅威の1つで多額の金銭的被害をもたらす。従来のフィッシングとは異なる特徴を持ち、技術的な脆弱性ではなく、人間の心理を突く高度なソーシャルエンジニアリングを駆使する。こうした攻撃は、甚大な金銭的損失や法的問題、業務の混乱を招く。組織にとって対策は急務だ。
ビジネスメール詐欺の種類
「ビジネスメール詐欺(BEC)」に関する編集部お薦め記事
BEC攻撃の目的は、従業員を欺いて送金させたり、機密データを共有させたりすることにある。サイバー犯罪者は事前調査を徹底する。組織内のやりとりを観察し、正規ユーザーに成り済まして攻撃を実行する。
主なBECのシナリオは以下の通りだ。
- CEO・役員詐称:経営幹部に成り済まし、担当者へ至急の送金を指示する
- 請求書の偽装:信頼できる取引先を装い、支払先口座の変更を要求する
- 法的機関への成り済まし:機密情報を扱う法務チームを装い、データの転送を求める
- 給与・人事担当者への成り済まし:従業員に成り済まし、給与振込口座や源泉徴収票情報の変更を指示する
- アカウント乗っ取り:フィッシングなどで入手した認証情報を使い、正規のアカウントを完全に支配する
- ディープフェイク:AIによる音声合成や動画生成を使い、リーダー層からの依頼を偽造する
ビジネスメール詐欺の実例
BECは、権威への服従や職場の文化といった心理を突くため、極めて有効な手法だ。近年、従業員が巧妙に操られた事例をいくつか紹介する。
MetaとGoogle
2013年から2015年にかけて、エバルダス・リマサウスカス氏らのグループがMetaとGoogleを標的にした。彼らは台湾のハードウェアサプライヤーであるQuanta Computerに成り済ました。ラトビアに同名の偽会社を設立し、偽の請求書や契約書を送り付けた。Googleは2013年に2300万ドル、Metaは2015年に9800万ドルの被害を受けた。最終的に両社は被害額の大部分を回収した。リマサウスカス氏には禁錮5年の判決が下った。
Ubiquiti Networks
2015年、IT企業のUbiquiti Networksで従業員を詐称する手口が発生した。香港子会社の財務部門に偽の支払い要求が届いた。17日間で14回にわたり、計4670万ドルが犯罪者の口座へ送金された。この攻撃は当初、全く気付かれなかった。2021年3月時点で同社が回収できたのは1860万ドルにとどまっている。
FACC
2016年、オーストリアの航空宇宙部品メーカーであるFACCで、ウォルター・ステファンCEO(当時)を装う攻撃が起きた。財務部門の従業員に、企業買収資金として5000万ユーロの送金を求めるメールが届いた。発覚後、一部の支払いは阻止できた。しかし、既に送金された4200万ユーロはいまだに回収できていない。
セーブ・ザ・チルドレン
2017年、国際的な非営利団体(NPO)のセーブ・ザ・チルドレンが被害に遭った。犯罪者が従業員のメールアカウントを乗っ取り、アジアのプロジェクトに関する偽の請求書を送付した。同団体は約100万ドルを失ったが、保険によってその9割を回収した。
トヨタ紡織
2019年、トヨタ自動車の主要サプライヤーであるトヨタ紡織の欧州子会社が標的となった。取引先を装った犯人が、財務・経理部門に口座情報の更新を要求した。要求は「至急対応しなければ部品生産が滞る」という脅しを含んでいた。従業員はだまされ、約3700万ドル(約40億円)を外部口座へ送金した。資金の回収状況は不明だ。
ケンタッキー州レキシントン市
2022年、ケンタッキー州レキシントン市の職員に地元のNPOを装うメールが届いた。口座情報の更新を求める内容だった。職員は別ルートでの確認手順を怠り、変更を処理した。その結果、連邦政府の家賃支援金など約400万ドルが不正な口座へ送金された。詐欺の発覚後、金融機関によって一部の資金は迅速に凍結された。
こうした事件による損失の合計は数億ドルに達する。多くの組織が資金を回収できずにいる。BECが危険なのは、高度なハッキング技術ではなく、人間の信頼や組織の階層を悪用するからだ。犯罪者はAIによるディープフェイクなどの新技術も取り入れ、手口を洗練させている。組織は従業員教育を徹底し、送金時の確認手順を厳格化すべきだ。不審な要求に、誰もが声を上げられるセキュリティ文化の構築が必要である。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
CFOの「偽動画」に2500万ドル送金 ディープフェイクの牙城を崩す“3つの盾”
「まさか自社が」という油断が、数億円規模の損失を招く。CFOになりすまして巨額送金を指示するディープフェイク攻撃はもはや空想ではない。企業が講じるべき対策とは。
いまさら聞けない「ビジネスメール詐欺」(BEC)とは何か? 1000万円超の被害も
なりすましメールを使った企業版振り込め詐欺ともいわれる「ビジネスメール詐欺」(BEC)。その手口はどのようなものなのか。具体的な被害は。調査結果を交えながら紹介する。
“社長からのメール”は疑うべき? 「ビジネスメール詐欺」(BEC)の巧妙な手口
「ビジネスメール詐欺」(BEC)では、サイバー犯罪者が巧妙な手口で、標的組織のさまざまな役職になりすましたメールを使い、犯罪を成功させる。その具体的な手口を見ていく。
国内でも高額被害 「ビジネスメール詐欺」(BEC)を食い止めるための対策とは?
国内でも日本航空(JAL)が約3億8000万円の被害を受けた「ビジネスメール詐欺」(BEC)。実害を防ぐために、企業はどのような対策を取ればよいのか。技術面、組織面の両面から探る。
「ビジネスメール詐欺」(BEC)の被害はこうして生まれる
「ビジネスメール詐欺」(BEC)の被害が国内外に広がっている。その背景には、攻撃を成功させるための巧妙な仕掛けがあった。具体的な攻撃手法と、その対策を解説する。