ビジネスメール詐欺とは何か
具体例から危機を回避する術を学ぶ

以前から不特定手数の相手にスパムメールを送って金銭やユーザーのアカウント情報、個人情報などを盗み取る詐欺行為は蔓延していたが、昨今ではより手口が巧妙化している。業務上の関係者になりすましたり、メールアカウントを乗っ取ったりして特定の相手をだます、ビジネスメール詐欺が横行しているのだ。

ビジネスメール詐欺は米国ではBEC（Business Email Compromise）と呼ばれ、2015年に米連邦捜査局（FBI）が情報を公開して警鐘を鳴らしたことから広く知られるようになった。米国インターネット犯罪苦情センター（IC3）が公開しているレポートによると、被害総額が2016年6月から2021年12月までに約430億ドル（約6兆円）に達しており、年々被害は拡大している。

当然、日本も例外ではない。IC3の同レポートでは、被害にあった組織や個人が資金を振り込んだ先の多くは、タイや香港、中国などの金融機関であることが示されており、日本を含むアジアは犯罪者の一大活動エリアとなっているのである。

1つめの課題は、国内のさまざまな拠点から本社のデータセンターにアクセスしてくるWAN回線のトラフィック増加だ。多くの企業はこうした各拠点からのアクセスに閉域網を利用してきたが、契約している回線容量（帯域幅）では急増するトラフィックをさばききれなくなり、レスポンスが悪化している。

2つめの課題は、データセンターから外部に出ていくインターネット接続回線のトラフィックの増加である。先に述べたような働き方改革や業務システムのクラウド化の進展により、Microsoft 365やTeams、ZoomなどのSaaSの利用が急拡大しており、インターネット接続回線の帯域がひっ迫しているのである。

ビジネスメール詐欺は、一般的にその手口から（1）取引先との請求書の偽装、（2）経営者などへのなりすまし、（3）窃取メールアカウントの悪用、（4）社外の権威ある第三者へのなりすまし、（5）詐欺の準備行為と思われる情報の詐取の大きく5つのパターンに分類される。

このうちIPA（独立行政法人情報処理推進機構）が、特に注意を喚起しているのが（1）（2）のパターンである。

まず「取引先との請求書の偽装」は、攻撃者が取引先になりすました偽の請求書などを送り付け、自分たちが用意した口座に振り込みをさせる手口だ。実際の取引先とのメールのやりとりが、なんらかの方法によって攻撃者に知られるところとなり、関係している従業員のメールアドレスや氏名など、取引や請求に関する情報が盗まれている可能性が高い。

もうひとつの「経営者などへのなりすまし」は、文字どおり攻撃者が企業の経営者や役員などの幹部になりすます手口で、従業員に会社側からの指示を偽装して攻撃者の用意した口座へ振り込みをさせる。IPAによれば、特に財務・経理担当者といった金銭管理を行う部門が狙われる傾向が大きいという。

ビジネスメール詐欺の3事例

実際にビジネスメール詐欺でどんな被害が発生しているのか、IPAの報告から3つの事例を見てみよう。

事例1　事前に口座変更の依頼があったたため、偽の口座へ送金

1つめは、偽口座への送金後に一部資金を回復できた事例だ。

国内の輸入販売業のA社は、イタリアの輸入元企業B社との間で取引を行っているが、あるときB社の担当者になりすました攻撃者から、偽の口座への振り込みを要求するメールが送られてきた。事前に取引先になりすました攻撃者から偽の口座への変更を依頼する内容のメールが送られていたこともあり、A社の担当者はすっかり騙されて信用し、偽の口座へ送金してしまった。

ただ、騙されたことに早期に気づいて対処できたのは不幸中の幸いでもあった。送金した資金の約半分はすでに引き出されてしまっていたのだが、B社やイタリア警察を交えた対応により、偽口座を凍結して残金を取り戻すことができたのである。

事例2　銀行口座証明書類を偽造し、振込先口座変更を依頼

２つめは、銀行口座証明書類を偽造し振込先口座変更を依頼してきた事例である。

国内の輸入販売業のC社は中国の企業D社と取引を行っているが、その過程でD社の担当者になりすました攻撃者から、送金先の銀行口座の変更を依頼するメールが証明書類と共に送られてきた。C社は過去の他の中国企業との正規の取引でも送金先の変更を依頼された経験があったことから、担当者はこの依頼を本物と認識し、その後に送られてきた請求に対して偽の銀行口座に送金してしまったのだ。

その後のメールのやりとりで不審な点を感じたC社の輸入責任者は、D社の社長に直接電話して確認したところ、送金先の変更は指示していないという回答が返ってきたことから詐欺にあったことが発覚。C社は銀行に対して組戻し（資金返却）依頼を行ったものの、資金の回収には至っていない。

事例3　毎月の支払方法を変更させられ、数カ月にわたって偽口座へ送金

３つめは、毎月の支払方法を変更させられ数か月間にわたって偽口座へ送金してしまった事例である。

あるときE社のもとに米国の取引先である運送企業F社から、これまでの小切手による支払から口座振込に変更してほしいという依頼メールが送られてきた。理由は新型コロナウイルスの影響とのことで、E社はF社の要求を受け入れ、以降3か月間にわたって指定された口座への送金を行った。ところがこれが詐欺であり、指定された口座はF社とはまったく関係のない偽の口座だったのだ。

その後、正規の小切手が送られてこないことについてF社から問い合わせがあり、E社はようやく騙されていたことに気づいたのである。

ビジネスメール詐欺の対策は「多層防御」

上記の事例のようにビジネスメール詐欺は手口としてはシンプルなのだが、日常的にやりとりしている取引先の担当者になりすますなど、心理的なガードの甘いところを巧妙に突いてくるため騙されやすいのだ。また、システムやセキュリティソフトによる機械的な防御では、偽メールの排除が難しいことが被害抑止を難しくしている。

そこでIPAが、各組織の従業員や職員に対するビジネスメール詐欺への認知向上とあわせて、強く推奨しているのが「多層防御」の考えに基づいた下記のような対策である。

普段と異なるメールには注意を十分に払う

まず気を付けなければならないのは「普段と異なるメールに注意する」ことだ。不審なメールが届いた際には社内で迅速に相談・連絡し、情報を共有しよう。

電信送金に関する社内規程を整備する

次に「電信送金に関する社内規程の整備（チェック体制の整備）」だ。急な振込先や決済手段の変更などの依頼が発生した場合、すぐに受け入れるのではなく、取引先に対してメール以外の方法で直接確認する。

ウイルス・不正アクセス対策も重要

さらに「ウイルス・不正アクセス対策」も忘れてはならない。セキュリティソフトを導入して最新の状態にしておくとともに、メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しを禁止する。加えてメールシステムでの多要素認証やアクセス制限の導入も検討しておきたい。

もっとも、どんなに注意していてもリスクを完全に排除することはできない。したがってビジネスメール詐欺に遭ってしまった場合も想定し、いざというときにどのように対処すべきか、事前にしっかり定めておくことが肝要だ。

万一偽の口座へ送金を行ってしまった場合、当該の銀行に対して一刻も早くキャンセルや組み戻しの手続きを依頼しなければならない。特に振込先の口座が海外であった場合、その国の現地警察へ連絡し、偽の口座の凍結や資金の回収について相談する必要がある。なお、その際には調査のために資料として証拠・証跡の提示を求められる可能性があり、攻撃者から送られてきたメールなどの証拠を保全するとともに、日頃から状況把握に役立つシステムの時系列記録やログの収集に努めておくべきである。

また、ビジネスメール詐欺が判明した際には、暫定対策と早急な原因調査が必要となる。自組織だけでなく取引先も含めたすべての関係者と連絡を取り、使用しているPCのウイルスチェックを実施するなど、さらなる情報流出を防止するための対策を施す。

繰り返すがビジネスメール詐欺に遭うと、その被害は金銭の損失や機密情報の流出に直接つながることになる。また、一度ビジネスメール詐欺に遭った企業の情報は、「カモになりやすい企業のリスト」としてダークウェブなどで共有され、何度も攻撃を受ける可能性があるため、決して注意を怠ることはできない。

ビジネスメール詐欺の対策を検討の方へ

• メールのセキュリティを強化したい
• 現状の対策だけできちんと対策できているのかが不安
• 何から対策していいかわからない