ビジネスメール詐欺とは
ビジネスメール詐欺(Business E-mail Compromise、BEC)とは、偽のメールを企業などに送り付け、従業員を騙して送金させるなどの金銭被害をもたらすサイバー攻撃です。
送信元のメールアドレスは、取引先を模したメールアドレスを使うなど、本物のメールと見分けづらくなっています。また、ビジネスメール詐欺は企業間の金銭の授受を装うため、金銭の被害は高額であり、被害に遭った際の影響も大きくなります。
尚、請求書を偽装するタイプの詐欺は、「偽の請求書詐欺(The Bogus Invoice Scheme)」や、「サプライヤー詐欺(The Supplier Swindle)」、「請求書偽装の手口(Invoice Modification Scheme)」などとも呼ばれています。
ビジネスメール詐欺は、情報処理推進機構(IPA)が出した2025年版の情報セキュリティ10大脅威において、「組織」向け脅威の第8位となっており、 8年連続でのランクインとなっています。
ビジネスメール詐欺の手口
ビジネスメール詐欺の手口は以下になります。
- 取引先との請求書の偽装
請求に係るやり取りを行っている際に、攻撃者が取引先になりすまし、攻撃者の用意した口座に差し替えた請求書を送り付け、振り込みをさせる。海外の企業とやり取りを行っている企業が被害にあう傾向がある。 - 搾取メールアカウントの悪用
攻撃者が従業員のメールアカウントを何らかの手段で盗み出し、そのアカウントが過去に取引のある別の企業に対し、偽の請求書を送り付ける。日頃取り引きのある見知った相手からのメールであるため、それを信用して被害に会うことがある。 - 経営者等へのなりすまし
企業の経営者などになりすまし、財務部門の担当者に、攻撃者の用意した口座に振り込ませる。依頼者が上の立場の者である場合、たとえ不審に思っても従ってしまう。 - 社外の権威ある第三者へのなりすまし
社外の弁護士などになりすまし、財務部門の担当者に、攻撃者の用意した口座に振り込ませる。依頼者が社会的に権威がある者である場合、信用してしまう。
いずれの攻撃も事前に、なりすます相手の情報や攻撃対象の情報を入手する必要があります。なりすましを防ぐことが、ビジネスメール詐欺を防ぐ対策の第一段階となります。
ビジネスメール詐欺の対策
ビジネスメール詐欺の対策は、「多層防御」の考え方に基づいており、システム上の技術的な対策と人的な対策に分かれます。まず技術的な対策は以下になります。
- 電子署名の付与
S/MIME(Secure / Multipurpose Internet Mail Extensions)や PGP(Pretty Good Privacy)など電子署名を付けることでなりすましを防止する。 - 2要素認証・2段階認証
本人しか知りえない情報(パスワードなど)のほか、本人しか持たないもの(トークンなど)を組み合わせて2要素認証を行う。または、組織内の2人以上の署名がなどの2段階認証を行う。 - マルウェア・不正アクセス対策
メールの送信元が偽装されたということは、アカウント情報などメールの内容が搾取されている可能性がある。情報漏洩を防ぐためには、情報を搾取するマルウェアやメールサーバへの不正アクセスを防止する対策が必要になる。
次に人的な対策は以下になります。
- 普段と異なるメールに注意
攻撃者が自分の母国語でない場合では、普段と異なる言い回しや表現の誤りが含まれることがある。過去にやり取りしている相手であっても、このような変化には注意が必要。 - メール以外の方法で確認
振込先の口座の変更や急な送金など、これまでと異なる行動を要求された場合は、電話などメールと異なる手段で事実を確認をすることが推奨される。 - 類似ドメインの調査
攻撃者は送信元を詐称するため、攻撃対象のドメイン名に似た詐称用ドメインを取得することがある。そのため、自組織に似たドメイン名が取得されていないか定期的に確認し、必要であれば注意喚起を行う必要がある。
尚、ビジネスメール詐欺の事例の中には、詐称用ドメインのDNSサーバの設定を行い、SPF(Sender Policy Framework)レコードが存在した場合がありました。そのため、SPF検証は、ビジネスメール詐欺の対策には効果がないとされています。
