BEC(Business E-mail Compromise ビジネスメール詐欺)とは?

ビジネスメール詐欺とは?

ビジネスメール詐欺とは、ビジネスメールを装って金銭を騙し取る詐欺の手口です。

取引先や、自社の経営層になりすまし、従業員に向けて送金指示のメールを送り金銭を詐取します。

例えばターゲットの会社の社長を名乗り、経理担当者に「取引先企業に早急に送金せよ」といった内容のメールを送るパターンや、取引先企業を名乗り、偽の請求書を送って金銭を騙し取るパターンなどもあります。

攻撃者は事前にサプライチェーン企業を侵害し、メールのやり取りを覗き見たうえで攻撃を仕掛けてくることもあるため、送金指示が来ても違和感を感じないタイミングを狙ってきます。

そのためメールの内容は信憑性のある内容となりやすく、ターゲットが詐欺と見分けることが困難になっています。

ビジネスにおけるコミュニケーションの主流が、電話やFAXからEメールに変わったことにより日々大量のビジネスメールがやり取りされています。

BECはそうしたビジネスメールの隙間に入り込んで詐欺を行うサイバー攻撃です。

ビジネスメール詐欺の手口

BECの手法は大きく2つに分類されます。

取引先などになりすまして偽の請求書を送るものと、社内の経営層などの内部になりすまして送金指示メールを送るものです。

IC3やトレンドマイクロ社、IPA(独立行政法人情報処理推進機構)では、BECをさらに細分化し5つの類型に分類しています。

1.取引のメールに割り込み、偽の請求書(振込先)を送る

2.経営者を騙り、偽の振り込み先に振り込ませる

3.乗っ取ったメールアカウントを悪用して詐欺を行う

4.社外の権威ある第三者(弁護士等)になりすまして詐欺を行う

5.攻撃の準備として社内情報を収集する

BECは、なりすましというシンプルな手口ながら、周到に計算された攻撃です。

まず攻撃者は、標的となる企業の情報収集を行います。

ドメインや名刺などからその企業が使っているメールアドレスを割り出します。

そこから経営層や経理担当のメールを類推し、判明したら今度はパスワードを入手します。パスワードの入手方法には辞書攻撃やフィッシングメールやキーロガーを活用することもあります。

メールシステムに侵入すると、次はメールのやり取りから取引先やその担当者、送金される名目などの情報を収集します。

定期的な送金を行っている取引先を見つけると、タイミングを見計らって「振込先の口座を変更した」などといった内容のメールを取引先になりすまして送るのです。

またメールの内容から企業の買収などの送金を伴う話が進んでいることが分かれば、経営層になりすまして、買収がまとまりそうなタイミングで、偽の送金先へ送金を指示する内容のメールを送ります。

攻撃者はメールのやり取りを盗み見ているためメール自体も本物と瓜二つとなっています。

文体や署名、ヘッダー情報等も偽物と判別するのが困難のように偽装します。

さらには攻撃者がなりすましている人物のPCを乗っ取り、そのPCをリモートコントロールしメールを送ってくる場合もあるため、受け取った側からみると本人から送られてきたと思ってしまいます。

このように周到に用意された攻撃を行ってくるため、受け取った側が詐欺であると気づくことはかなり困難といえるでしょう。

##ビジネスメール詐欺の日本での被害事例

海外では既に数年前からBECの被害が増大しています。

FBI(米連邦捜査局)の発表によると、2013年から2018年までのアメリカでの累計被害は、発生件数が約7万9千件、被害額は125億4千万ドル近くとなっています。

日本でも2017年からBECの詐欺被害が確認されています。

2017年からは、日本でも同様の手口による被害が確認されています。

国内の大手航空会社JALの場合は、

2017年8月に、貨物の業務委託料に関して、貨物事業所に支払い口座の変更という内容のメールが届き、担当者は変更された香港の口座に約2400万円を振り込みました。

さらに2017年12月には、旅客機のリース料に関するメールが届きました。

メールは海外の金融会社の担当者になりすました攻撃者から送られてきました。

そこには「料金の支払先口座が香港の銀行に変更された」という旨の内容が記述されており、担当者は約3億6千万円を指定口座に振り込みました。

そして、数日後には全額が引き出されていて回収不能となりました。

 

ビジネスメール詐欺の日本での被害事例

海外では既に数年前からBECの被害が増大しています。

FBI(米連邦捜査局)の発表によると、2013年から2018年までのアメリカでの累計被害は、発生件数が約7万9千件、被害額は125億4千万ドル近くとなっています。

日本でも2017年からBECの詐欺被害が確認されています。

2017年からは、日本でも同様の手口による被害が確認されています。

国内の大手航空会社JALの場合は、

2017年8月に、貨物の業務委託料に関して、貨物事業所に支払い口座の変更という内容のメールが届き、担当者は変更された香港の口座に約2400万円を振り込みました。

さらに2017年12月には、旅客機のリース料に関するメールが届きました。

メールは海外の金融会社の担当者になりすました攻撃者から送られてきました。

そこには「料金の支払先口座が香港の銀行に変更された」という旨の内容が記述されており、担当者は約3億6千万円を指定口座に振り込みました。

そして、数日後には全額が引き出されていて回収不能となりました。

ビジネスメール詐欺への対策

BECは基本的にはソーシャルエンジニアリングという騙しのテクニックが用いられています。

ソーシャルエンジニアリングとは、ネットワークに侵入するためのパスワード等の情報をマルウェア等の情報通信技術を使用せずに、盗み出す方法です。

そしてBECは、怪しい添付ファイルやURLは開かないという従来の対策方法では防ぐことが難しいという特徴もあります。

BECを防ぐためにはBECという詐欺手法があるということを担当者に十分に周知させておく事が必要となります。

具体的な対策の導入としては、送金や重要な情報を送る際の社内規則を取り決めることから始めます。

高額な送金処理を行う際には複数の役職者に稟議を提出することを義務化する。

振込先の変更があった場合には、送金先にその旨を電話などのメール以外の手段で確認する。

その他にも、普段と異なる不審なメールがあった際には社内で情報共有をする、従業員にセキュリティ教育を行うことなども効果的になって来ます。

システム面の対策は、メールには送信者ドメイン認証(DKIM、SPF、DMARC)を施すことが有効です。

これらを導入することで不正なメールサーバによるドメイン詐称メールを検知できます。

また登録済みの講座以外への振り込みは禁止にするなど、業務システム上の制約を設けることも有効です。

こうしたセキュリティ対策を行えるサービスとしてはNTT Comが提供する「WideAngle マネージドセキュリティサービス」の「コンテンツセキュリティ」や「コンサルティング」などがあります。

もちろんセキュリティソフトの導入や、推測されやすい簡単なパスワードや他のサービスで使用しているパスワードの使用を禁止し、複雑なパスワードを設定することなども有効な対策手段です。

##まとめ

BECは被害金額が多額になりやすい詐欺です。

慎重な対応と複数のチェックを行うことで被害にあわないようにしましょう。

攻撃者は常に手口をアップデートしてくるため、こちらも常に意識を高めておく必要があります。

参考サイト

https://products.nvc.co.jp/fortinet/blog/what-is-business-email-scam

https://www.ipa.go.jp/security/announce/2020-bec.html

https://www.macnica.net/solution/bec.html/

https://www.ntt.com/bizon/sec/cybersec05-3.html