1. HOME
  2. ブログ
  3. 用語
  4. ビジネスメール詐欺(BEC)

BLOG

情報ブログ

用語

ビジネスメール詐欺(BEC)

ビジネスメール詐欺は「Business E-mail Compromise」の頭文字をとってBEC(ビー・イー・シー)とも呼ばれます。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2021」では、「ビジネスメール詐欺による金銭被害」が第5位となるなど、いま警戒すべきサイバー攻撃の一つとなっています。それでは、ビジネスメール詐欺とは、どのようなものなのでしょうか。

ビジネスメール詐欺は巧妙に仕掛けらる詐欺です。メール版「振り込め詐欺」とも言われています。

ビジネスメール詐欺は金銭をだまし取ることを目的とした「なりすまし」の一種です。取引先や関連会社、弁護士などを装い、攻撃者の口座へ送金を促します。入念に準備をし、タイミングを見てなりすますため見破るのが難しく、「振り込め詐欺」のメール版とも言われています。

実際にこのビジネスメール詐欺の被害に遭ったのが日本航空(JAL)です。2017年に約3億8000万円ものお金をだまし取られました。手口は巧妙で、まずウイルス感染などでJALや取引先のメール環境に侵入、やりとりを傍受し状況を把握します。そして支払先の担当者になりすまし、旅客機リース料に関する偽の請求書を発行。そこには振込口座が変更されたと記載されており、JALの担当者は約3億6000万円を指定口座に振り込んだのです。また、地上業務委託料についても支払い口座の変更メールが届き、JAL担当者は約2400万円を指定口座に振り込んでしまいました。いずれも正規の取引先から請求書が届いた直後、訂正版として偽の請求書が届いたということです。
このようにビジネスメール詐欺はバラマキ型の詐欺メールとは違い、ターゲットに対して入念に準備をし絶妙なタイミングでなりすましメールを送ってきます。

2020年に問題となった「Emotet(エモテット)」は、感染させた組織から得るメール情報を流用し、その取引先に返信を装うなどして新たな攻撃メールを発信するため、なりすましが特徴のビジネスメール詐欺と混同されました。しかし、Emotetは感染によって広がっていくマルウェアです。その目的は情報窃取と感染拡大ですが、ビジネスメール詐欺の目的は金銭窃取であり、その手口は特定のターゲットに絞られています。被害額も大きくなる傾向があるようです。

では、この高度なサイバー攻撃であるビジネスメール詐欺は、どのように対処すればよいのでしょうか。

1、イレギュラーなメールに注意

急な振込先の変更や文面に普段とは違う違和感を感じる表現があった場合、送信元に必ず確認をとりましょう。その際、メールではなく電話や対面での確認が有効です。(メールは傍受されている可能性があります)

2、電子署名を活用

メールで振込先変更の連絡がきた場合は、電子署名を付与した請求書を発行してもらいます。

3、傍受する隙をなくす

ビジネスメール詐欺の前段階でマルウェア感染や不正アクセスで土台を作っている可能性があります。マルウェア対策ソフトのインストール、怪しいメールを検知するサービスの導入などセキュリティ対策の強化も有効です。

違和感のある内容、突然の口座変更などの場合は、メールだけでなく対面や電話での確認も行いましょう。

ビジネスメール詐欺においては、いつもと違う指示があった際、別の角度からの確認を取ることが重要です。信頼関係のある取引先だからこそ、油断をせずに対処しましょう。

関連記事

無料相談:0120-611-922