情シス奮闘記 中小企業編
第18回テーマ「ビジネスメール詐欺」
2018年8月
ビジネスメール詐欺が横行。騙されないためにはどうすればいい?
巧妙に細工された文面で、偽の口座に送金を促し、企業に損害を与えるビジネスメール詐欺が横行している。IPA(情報処理推進機構)が発表する2018年の「情報セキュリティ10大脅威」でも組織を狙った攻撃の3位にランクされている。被害金額も多額になる一方だ。アミダ社にもそれらしいメールが届いたのをきっかけに、情シス担当の中村和人がビジネスメール詐欺の現状を調べ、セキュリティ対策を実施することになった。
世界の企業に3年間で5,600億円もの被害をもたらしたビジネスメール詐欺
昼休み、自分のデスクでネットニュースを読んでいた中村はある記事に目が止まった。
「経営層などを装い企業に送金指示――メール詐欺、広がる脅威」という見出し。「ビジネスメール詐欺は2015年ごろから急増。米連邦捜査局(FBI)によると、2013年10月から2016年12月までの間に世界で約4万件発生し、被害総額は約53億ドル(約5,600億円)に上る」と記事は続いていた。
「5,600億円ってすごくないですか」
背後から総務課の加藤彩の声がした。
「びっくりした。人のパソコン、盗み見しないでくれよ」
「ごめんなさい。でも中村さん、すごく真剣な表情だったんで。で、そのビジネスメール詐欺って何なんですか」
「あっこれね。日本でも最近被害が増えているらしい。例えば、取引先や自社の偉い人になりすまして、経理担当者などに偽の送金をメールで指示するというんだ。そのメールにはいかにも本物っぽい契約書が添付されていたりして、簡単には偽物だと見破りにくいんだって」
「へえ、でも、犯人はどうやって取引先や偉い人になりすますことができるんですか」
「それは多分、ウイルス付きメールなどをきっかけに、企業のサーバに侵入するのに成功しているか、似たようなドメインを取得して、そこから手当たり次第に送りつけているんだろうね」
「私のところにこの前、来たメールもその口かしら……」
と加藤が言うので、中村はびっくりした。
「えっ、それほんと?どんなメール?」
メールアドレスのアルファベットが微妙に違っている
加藤はそのメールに怪しさを感じて、そのまま放置したという。幸い、彼女のメールボックスに現物が残っていて見ることができた。
それはこんなメールだった。
タイトルは英語で「Invoice」とだけある。差出人は香港にある取引先A社の経理部門を名乗っている。本文には概略こう書かれていた。
「前回の請求にあたって間違った添付ファイルを送ってしまったので、今回添付している請求書をご使用ください。なお今回の口座はこちらにお願いします」
加藤は以前、経理部にいたこともあり、A社のことはよく知っていた。A社から請求書が送られてくることもよくあったが、メールに添付というのはまれだ。しかも、よくよく見ると、差出人のメールアドレスが、実在のA社のドメインとはスペルが微妙に違っている。
本来は、a_△△□□_company.com であるべきところが a__△△□□_compnay.com とアルファベットの1文字が逆になっているのだ。
「ね、おかしいでしょ。それにメール添付の請求書ってA社の場合はめったにないし、請求金額もふだんの10倍ぐらい高いの。経理部の人にも聞いてみたら、最近そういう取り引きはないんですよね。だからきっと間違いメールだと思ってほったらかしにしていたんです」と、加藤は言うのだった。
「よく気づいて、経理部に転送したり、直接返信したりしなかったね。万一この手のメールに返信したら、詐欺に巻き込まれるところだったよ。言われるままに送金してたりしたら、おおごとになるところだった」
「私、詐欺メールを水際で防いだってことかしら」と、加藤はドヤ顔だ。
「でも、こういうケースは僕にすぐ報告してくれなくちゃ。ウチがターゲットにされていること自体が由々しき事態だし、他の人にもメールが届いているかもしれないし。ともあれ、今後の予防のためにも、もう少しビジネスメール詐欺のことを勉強してみようよ」と、中村は諭すのだった。
まさにメール版振り込み詐欺。まずはその実態を知るべき
ビジネスメール詐欺は、海外などの取引先や自社の経営者層になりすまして、偽の電子メールを送って入金を促す詐欺のことで、BEC(Business Email Compromise)とも呼ばれている。日本国内でも2017年に大手航空会社が4億円近い金額をだまし取られ、話題になった。
ビジネスメール詐欺には「取引先との間でやりとりされる請求書の偽装」「経営者を語り、偽の振込先に振り込ませるなりすまし」「メールアカウントを乗っ取り、それを悪用する」「社長から指示を受けた弁護士など権威ある第三者へのなりすまし」「詐欺の準備として、経営層や人事部などになりすまし、従業員情報を窃取する」などいくつかのタイプがあると言われる。それらの狙いは、もちろん犯罪者自身の口座へ現金を送金させることだ。
ただ、手口は年々巧妙になる一方。請求者側と支払者側の両方になりすまし、取り引きに関わる2つの企業を同時に騙そうとしたり、企業担当者から「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきたり、送金がエラーになった際には30分で訂正のメールが送られてきたりと、非常に攻撃の手際がよいことも特徴的だという。
ビジネスメール詐欺について注意を喚起しているIPAのサイトでは、「手口の悪質さ・巧妙さは、諜報活動などを目的とする“標的型サイバー攻撃”とも通じるところがあり、被害を防止するためには、特に企業の経理部門などが、このような手口の存在を知ることが重要」と記されている。
「まさにメール版の振り込め詐欺だわ。怖い。4億円なんて、ウチの何カ月分もの売上げがすっかり持っていかれてしまう…」
その恐るべき実態を知れば知るほど、加藤の表情は青ざめていく。
セキュリティ対策はITシステムとルール強化の両面から
中村は早速、旧知のシステムエンジニア、海田大輔に対策を相談してみることにした。当然、海田はビジネスメール詐欺についてよく知っていた。
「そもそもなぜその企業が狙われるかといえば、中村のところかもしれないし、取引先企業のところかもしれないが、どこかでメールシステムが不正アクセスされていると考えるべきだね。犯人は、担当者同士がメールで商談を進めているのを監視して、すっかりその商談の延長のようなふりをして、巧妙なメールを作文するんだ。特に海外の取引先になりすまされちゃうと、なかなか手強いね。海外と日本では商習慣の違いがあるし、英語でのやり取りに慣れていないとますます奴らの手口に嵌まってしまう。そもそも、中小企業には振り込みに関する社内チェック体制が甘いところがあるから、なおさらだよ」
「ITシステムで対策を取ることはできないのかい?」
「もちろんできるさ。基本的には標的型攻撃やランサムウェアと同じだから、送信ドメインの認証チェックや、添付ファイルフィルタなどセキュリティ対策を実装したクラウド型の統合メールサービスを利用すれば、ある程度は未然に防げるだろうね。自社でメールサーバを運用している場合でも、2段階認証の導入やアクセス履歴のチェックで、不正アクセスはある程度防御できる。日本の企業でよく使われるOutlookなど特定のメーラーに特化したBEC対策ツールを提供しているベンダーもある。事前に設定したブラックリストのドメインからメールが届いたり、返信時に宛先(Reply-To)が送信先(From)と異なっている場合に警告してくれる機能などは有効だろうね。ただ……」
「ただ?」
「本質はビジネス詐欺なわけだから、ITだけで完璧に防げるものではないと心得ておくべきだ。さっきも言ったけれど、送金チェック体制などガバナンス体制をしっかりさせることがまず必要だろう。さらに社員全員にビジネスメール詐欺が増えていることを周知したり、不審な請求書が届いたらメールじゃなくて電話やFAXで確認してみる、攻撃を受けたと気づいたらすぐに銀行の送金を停止する措置を取るといった、メールに限らない会社としてのセキュリティ対策の基本をあらためて確認するとことが大切だな」
中村は社に戻ると早速、ビジネスメール詐欺について社員全員に“お触れ”を出すことにした。「返信する場合は相手のメールアドレスをよく確認する、添付ファイルやリンク先を不用意に開かない」という基本の再確認もそれには含まれた。
「まずは組織内での情報共有が大事ですからね」
と、先日のドヤ顔はどこへやら、加藤はすっかり神妙になって中村の話を聞くのだった。
今回のポイント
- ビジネスメール詐欺の被害は3年間で5,600億円にも
- 手口は年々巧妙になる。主に海外取引先とのやりとりが狙われる
- メールシステムへの不正侵入が発端の場合が多い
- 社内啓蒙はもちろん、被害状況についての迅速な情報共有が不可欠
- セキュリティを担保したクラウド型メールサービスも有効
- 送金チェック体制などセキュリティ全般についての基本対策を徹底する
登場人物
- アミダ社:社員50人あまりの機械部品製造業。関東に本社・部品工場。中国に提携する下請けメーカーがある
- 中村 和人:総務部所属。情シスを1人で取り仕切っている。入社11年目
- 江窪 満:アミダ社の社長。2代目だからか、どこかのんびりしているところがある
- 仙道 淳:営業職の社内ユーザー。トラブルをよく起こす社員
- 海田 大輔:外部のシステム会社のSE。中村の友人
- 加藤 彩:総務部の女性社員。陰ながら中村をサポートしている
- 早田 昌司:入社4年目。生産部門と情報部門を兼任しながら、情報セキュリティ専門家への一歩を踏み出す
*文中の氏名・社名はいずれも実在するものではありません
情シス奮闘記 中小企業編
- 第1回 テーマ「セキュリティ教育」
- 第2回 テーマ「サイバー攻撃」
- 第3回 テーマ「SNS利用編」
- 第4回 テーマ「改正個人情報保護法」
- 第5回 テーマ「働き方改革」
- 第6回 テーマ「ランサムウェア」
- 第7回 テーマ「シャドーIT」
- 第8回 テーマ「BYOD」
- 第9回 テーマ「IT資産管理」
- 第10回 テーマ「顔認証」(前編)
- 第11回 テーマ「顔認証」(後編)
- 第12回 テーマ「IoT」(前編)
- 第13回 テーマ「IoT」(後編)
- 第14回 テーマ「サイバーセキュリティ経営ガイドライン改訂」
- 第15回 テーマ「企業間データ提携」
- 第16回 テーマ「セキュリティ人材育成」
- 第17回 テーマ「OS移行(Windows 10)」
- 第18回 テーマ「ビジネスメール詐欺」
- 第19回 テーマ「Webサービスからの個人情報窃取」
- 第20回 テーマ「内部不正」
- 第21回 テーマ「無線LAN」
- 第22回 テーマ「メール誤送信」