騙されないために!ビジネスメール詐欺の手口と防止策について

  • ITトレンド

IT用語解説、セキュリティー対策、経理・情報システム部門向け

2018年08月29日

企業の情報管理としてセキュリティー対策は非常に重要ですが、最近増えているのが、サーバーやウェブサイトなどを対象とした攻撃ではなく、社員個人を狙った攻撃です。

その中でも代表的な攻撃手段が「ビジネスメール詐欺」で、無作為にではなく特定組織の財務担当者を狙った攻撃も増えており、企業の規模に関わらず防衛手段を講じる必要があるでしょう。今回は、実際にあったビジネスメール詐欺の事案などをご紹介しながら、取組むべきビジネスメール詐欺の対策方法についてお伝えします。

ビジネスメール詐欺の手口とは

ビジネスメール詐欺は、企業を相手に虚偽のメールを送って送金させ、多額の金銭を詐取するという振り込め詐欺の一種です。ビジネスメール詐欺では、実在する取引先や自社内の関係者を装ってメールを送り、正しいメールだと信じ込ませて架空の口座に金銭を振り込ませます。振り込みの案内がメールのみという場合も少なくない現在のビジネスの現場を逆手にとった犯罪です。

ビジネスメール詐欺で多い手口としては、海外の取引先や自社の経営者層、弁護士などになりすましてメールを送り、入金させるというものです。メールアドレスも、実際に使用しているアドレスと1文字違いのアドレスなど、酷似したものが多く使われるため、一見しただけでは偽物とはわかりません。メールアカウント自体を乗っ取って、本物のメールアドレスで犯罪が行われることもあります。

また、メールが送信されるタイミングも巧妙で、実際の取引に合わせたタイミングで請求書が添付されたメールが送られてくるケースが多くあります。つまり、取引先との取引内容や業務スケジュールまでもを把握し、実際の取引相手になりきってメールが送られてくるため、本物かどうか見抜きにくいのがビジネスメール詐欺の怖さです。

発生した詐欺事案について

実際に起きたビジネスメール詐欺の事例を見てみましょう。

<Case 1>
ある会社の事例では、取引先の担当者を装った者から貨物業務委託料や旅客機リース料などを請求するメールが2回にわたって届き、総額約3億8000万円が詐取されました。そのうち1回については、

・画面上には取引先の担当者の名前とメールアドレスが表示されていた(実際のメールアドレスとは1文字違い)
・「振込先が変更になった」という旨の訂正版の請求書が添付されていた
・添付された請求書にはサインもされており、実物に酷似していた

などの巧妙な手口により、正しい請求依頼だと信じ込んでしまった担当者はメールで指示された通りに香港の指定口座への送金を行ってしまいました。
このケースでは、「実際にあった取引に基づいて」「正当な支払いのタイミングで」「違和感を感じることが難しい内容のメールが送られてきた」ため、担当者が本物のメールと信じ込んでしまったのです。
また、海外の取引先から実際にリースしていた物品の請求であったため、支払い遅延による利用停止を恐れ、担当者が確認を十分に行えなかったという心理も影響したようです。

<Case 2>
別の会社でも実際にある海外の取引先企業の担当者になりすましたメールが届き、約40万円を香港の指定口座に振り込んでしまいました。ただし、このケースではたまたまその口座が凍結されていたため、実際の取引先に確認したところ詐欺が発覚し被害を免れています。その後も同じ会社に再びメールが届き、今度は別の取引先をかたって約200万円の振込みを要求されましたが、このときは1回目の事件を受けて社内で注意喚起が行われていたため、社内の担当者がおかしいと気付き、被害を被ることはありませんでした。


このように、ビジネスメール詐欺は海外だけでなく、日本でも実際に被害が生じています。ビジネスメール詐欺のターゲットになるのは、大企業だけとは限りません。
ある企業では、企業のメールサーバーに届く1ヶ月分のメール約100万通のうち、半数以上である約56万通が不審メールであるという実績も出ております。不審メールの内容としては、カード会社やネット通販サイトを騙ったもの、請求書・注文書を装ったものなど様々です。
今、ビジネスメール詐欺はどの会社にいつ起こっても不思議ではない犯罪ですので、しっかり対策を講じておくことが重要です。

ビジネスメール詐欺への対策とは

ビジネスメール詐欺は、虚偽の口座に送金を要求するものが多いため、実際に送金作業を行う経理担当が最も注意が必要です。被害に合わないために、取り組むべき対策を3つ紹介します。

(1)送金する前によく確かめる
もしも送金に関するメールを受信したら、まずメールアドレスをよく確認しましょう。実際に使用しているアドレスに非常に似た(1文字違いや、1文字を前後入替えたような)アドレスが使用されるので、注意深くチェックする必要があります。おかしいと感じたら「ビジネスメール詐欺かもしれない」と疑い、送金する前に担当者に電話などメール以外の方法でも確認することも有効です。
また、一定額以上の送金や振込先口座の変更をメールで依頼された場合には、必ず社内ルールに則って処理するようにしましょう。至急対応して欲しいと書かれていても、社内ルールを脱しないことが大切です。

(2)社内での情報共有の徹底と社員のセキュリティー意識の向上を図る
社内での情報共有を徹底し、経理担当だけでなく、社員一人ひとりがビジネスメール詐欺の手口を理解しておくことも大事です。勉強会を開くなどして最新のビジネスメール詐欺の手法を知り、理解を深めておくことも良いでしょう。
実際にあった事例では、取引に合わせたタイミングでメールが送信されていました。つまり詐欺メールが届く以前にパソコンがウイルスに感染していたり、不正アクセスなどによって取引情報やメール情報が盗み見られていた可能性が指摘されています。日頃から不審なURLはクリックしない、不必要に添付ファイルを開かない意識を持つようにしましょう。
社員一人ひとりセキュリティー意識が高まることで何重もの防御が可能となります。

(3)セキュリティーそのものを強化する
・メールセキュリティー製品の導入
エンドポイント(PCや携帯電話などネットワークに接続される端末)がマルウェアに感染しないよう、不正と思われる添付ファイルやスパムメールを検出する、メールに書かれているURLをチェックし不正なURLをブロックするといった対策が有効です。
受信したメールがどこの国を経由して届いたかをチェックする、差出人メールアドレスと「エンベロープ(封筒)」に記載されているアドレスに差異がないかチェックするような機能を持つ製品もあります。

・Webセキュリティー製品の導入
万が一危険と思われるようなサイトへのURLをクリックしてしまってもアクセスを防止する対策を施すことで、水際での防止が可能です。

・ウイルス対策製品の導入
メール認証情報など、企業にとって重要な情報を盗む標的型サイバー攻撃から身を守るための対策も有効です。

前提として、セキュリティーソフトやOSについては常に最新の状態を保つようにし、定期的にウイルスチェックを行うなどして万全を期すよう心がけましょう。

まとめ

ビジネスメール詐欺は、メールのやり取りで取引が行われているビジネスの現状を悪用した犯罪です。現実にある取引先や担当者をかたり、実際に使用しているメールアドレスによく似たアドレスを使ってメールが送られてくるので、一人ひとりが常に注意を怠らないことが大事です。
また、個人が気を付けるということだけではなく、経理の送金フローを見直したり、ITセキュリティーを強化したりして、会社全体で組織的な対策を打つことも、ぜひ検討されてはいかがでしょうか。

おすすめ製品

クライアント端末を対象とした標的型攻撃の手口がより複雑化・高度化する現在。手口の大半は「メール」と「Web」を主な感染経路およびデータ窃取の手段としています。業務に欠かすことのできない「メール」と「Web」を守り、個人情報や機密情報を持ち出されないための対策が急務と言えます。
弊社がご提案するWebセキュリティー「i-FILTER」Ver.10とメールセキュリティー「m‐FILTER」Ver.5は、「社外」からの攻撃と「社内」からの漏えいを同時に防ぐセキュリティー対策サービスです。

「m-FILTER」Ver.5は、標的型攻撃の98%を占める、メールを感染経路にした攻撃を阻止。メールの危険性を判定し、必要に応じて隔離します。無害化処理された安全なメールしか受信させないことで、メールによるマルウェアの侵入を防ぎます。

「i-FILTER」Ver.10は、残り2%のマルウェア感染源となる悪意あるWebサイトへのアクセスを制御し、安全なWebアクセスを可能にします。

さらに、社外送信だけを一定時間保留したり、添付ファイルを自動で暗号化する機能で、万が一のメール誤送信の際も、メールや添付ファイルからの情報漏えいを防ぐことができます。
詳しくは、弊社担当者までお気軽にお問い合わせください。

標的型攻撃対策ソリューション「i-FILTER、m-FILTER 導入サービス」を見る

「ITトレンド」の最新記事

  • 上記コラムのようなお役立ち情報を定期的にメルマガで配信しています。
  • ソリューション・エクスプレス(メルマガ)の定期購読をご希望の方はこちら
  • メルマガ登録