第18回テーマ「ビジネスメール詐欺」

ビジネスメール詐欺が横行。騙されないためにはどうすればいい？

昼休み、自分のデスクでネットニュースを読んでいた中村はある記事に目が止まった。

「経営層などを装い企業に送金指示――メール詐欺、広がる脅威」という見出し。「ビジネスメール詐欺は2015年ごろから急増。米連邦捜査局（FBI）によると、2013年10月から2016年12月までの間に世界で約４万件発生し、被害総額は約53億ドル（約5,600億円）に上る」と記事は続いていた。

「5,600億円ってすごくないですか」

背後から総務課の加藤彩の声がした。

「びっくりした。人のパソコン、盗み見しないでくれよ」

「ごめんなさい。でも中村さん、すごく真剣な表情だったんで。で、そのビジネスメール詐欺って何なんですか」

「あっこれね。日本でも最近被害が増えているらしい。例えば、取引先や自社の偉い人になりすまして、経理担当者などに偽の送金をメールで指示するというんだ。そのメールにはいかにも本物っぽい契約書が添付されていたりして、簡単には偽物だと見破りにくいんだって」

「へえ、でも、犯人はどうやって取引先や偉い人になりすますことができるんですか」

「それは多分、ウイルス付きメールなどをきっかけに、企業のサーバに侵入するのに成功しているか、似たようなドメインを取得して、そこから手当たり次第に送りつけているんだろうね」

「私のところにこの前、来たメールもその口かしら……」

と加藤が言うので、中村はびっくりした。

「えっ、それほんと？どんなメール？」

加藤はそのメールに怪しさを感じて、そのまま放置したという。幸い、彼女のメールボックスに現物が残っていて見ることができた。

それはこんなメールだった。

タイトルは英語で「Invoice」とだけある。差出人は香港にある取引先A社の経理部門を名乗っている。本文には概略こう書かれていた。

「前回の請求にあたって間違った添付ファイルを送ってしまったので、今回添付している請求書をご使用ください。なお今回の口座はこちらにお願いします」

加藤は以前、経理部にいたこともあり、A社のことはよく知っていた。A社から請求書が送られてくることもよくあったが、メールに添付というのはまれだ。しかも、よくよく見ると、差出人のメールアドレスが、実在のA社のドメインとはスペルが微妙に違っている。

本来は、a_△△□□_company.com であるべきところが a__△△□□_compnay.com とアルファベットの1文字が逆になっているのだ。

「ね、おかしいでしょ。それにメール添付の請求書ってA社の場合はめったにないし、請求金額もふだんの10倍ぐらい高いの。経理部の人にも聞いてみたら、最近そういう取り引きはないんですよね。だからきっと間違いメールだと思ってほったらかしにしていたんです」と、加藤は言うのだった。

「よく気づいて、経理部に転送したり、直接返信したりしなかったね。万一この手のメールに返信したら、詐欺に巻き込まれるところだったよ。言われるままに送金してたりしたら、おおごとになるところだった」

「私、詐欺メールを水際で防いだってことかしら」と、加藤はドヤ顔だ。

「でも、こういうケースは僕にすぐ報告してくれなくちゃ。ウチがターゲットにされていること自体が由々しき事態だし、他の人にもメールが届いているかもしれないし。ともあれ、今後の予防のためにも、もう少しビジネスメール詐欺のことを勉強してみようよ」と、中村は諭すのだった。

ビジネスメール詐欺は、海外などの取引先や自社の経営者層になりすまして、偽の電子メールを送って入金を促す詐欺のことで、BEC（Business Email Compromise）とも呼ばれている。日本国内でも2017年に大手航空会社が4億円近い金額をだまし取られ、話題になった。

ビジネスメール詐欺には「取引先との間でやりとりされる請求書の偽装」「経営者を語り、偽の振込先に振り込ませるなりすまし」「メールアカウントを乗っ取り、それを悪用する」「社長から指示を受けた弁護士など権威ある第三者へのなりすまし」「詐欺の準備として、経営層や人事部などになりすまし、従業員情報を窃取する」などいくつかのタイプがあると言われる。それらの狙いは、もちろん犯罪者自身の口座へ現金を送金させることだ。

ただ、手口は年々巧妙になる一方。請求者側と支払者側の両方になりすまし、取り引きに関わる2つの企業を同時に騙そうとしたり、企業担当者から「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきたり、送金がエラーになった際には30分で訂正のメールが送られてきたりと、非常に攻撃の手際がよいことも特徴的だという。

ビジネスメール詐欺について注意を喚起しているIPAのサイトでは、「手口の悪質さ・巧妙さは、諜報活動などを目的とする“標的型サイバー攻撃”とも通じるところがあり、被害を防止するためには、特に企業の経理部門などが、このような手口の存在を知ることが重要」と記されている。

「まさにメール版の振り込め詐欺だわ。怖い。4億円なんて、ウチの何カ月分もの売上げがすっかり持っていかれてしまう…」

その恐るべき実態を知れば知るほど、加藤の表情は青ざめていく。

中村は早速、旧知のシステムエンジニア、海田大輔に対策を相談してみることにした。当然、海田はビジネスメール詐欺についてよく知っていた。

「そもそもなぜその企業が狙われるかといえば、中村のところかもしれないし、取引先企業のところかもしれないが、どこかでメールシステムが不正アクセスされていると考えるべきだね。犯人は、担当者同士がメールで商談を進めているのを監視して、すっかりその商談の延長のようなふりをして、巧妙なメールを作文するんだ。特に海外の取引先になりすまされちゃうと、なかなか手強いね。海外と日本では商習慣の違いがあるし、英語でのやり取りに慣れていないとますます奴らの手口に嵌まってしまう。そもそも、中小企業には振り込みに関する社内チェック体制が甘いところがあるから、なおさらだよ」

「ITシステムで対策を取ることはできないのかい？」

「もちろんできるさ。基本的には標的型攻撃やランサムウェアと同じだから、送信ドメインの認証チェックや、添付ファイルフィルタなどセキュリティ対策を実装したクラウド型の統合メールサービスを利用すれば、ある程度は未然に防げるだろうね。自社でメールサーバを運用している場合でも、2段階認証の導入やアクセス履歴のチェックで、不正アクセスはある程度防御できる。日本の企業でよく使われるOutlookなど特定のメーラーに特化したBEC対策ツールを提供しているベンダーもある。事前に設定したブラックリストのドメインからメールが届いたり、返信時に宛先（Reply-To）が送信先（From）と異なっている場合に警告してくれる機能などは有効だろうね。ただ……」

「ただ？」

「本質はビジネス詐欺なわけだから、ITだけで完璧に防げるものではないと心得ておくべきだ。さっきも言ったけれど、送金チェック体制などガバナンス体制をしっかりさせることがまず必要だろう。さらに社員全員にビジネスメール詐欺が増えていることを周知したり、不審な請求書が届いたらメールじゃなくて電話やFAXで確認してみる、攻撃を受けたと気づいたらすぐに銀行の送金を停止する措置を取るといった、メールに限らない会社としてのセキュリティ対策の基本をあらためて確認するとことが大切だな」

中村は社に戻ると早速、ビジネスメール詐欺について社員全員に“お触れ”を出すことにした。「返信する場合は相手のメールアドレスをよく確認する、添付ファイルやリンク先を不用意に開かない」という基本の再確認もそれには含まれた。

「まずは組織内での情報共有が大事ですからね」

と、先日のドヤ顔はどこへやら、加藤はすっかり神妙になって中村の話を聞くのだった。

• ビジネスメール詐欺の被害は3年間で5,600億円にも
• 手口は年々巧妙になる。主に海外取引先とのやりとりが狙われる
• メールシステムへの不正侵入が発端の場合が多い
• 社内啓蒙はもちろん、被害状況についての迅速な情報共有が不可欠
• セキュリティを担保したクラウド型メールサービスも有効
• 送金チェック体制などセキュリティ全般についての基本対策を徹底する