BECの国内浸透に注意喚起! 2018年のセキュリティ脅威じわりと広がるビジネス詐欺メール被害
日本企業を狙った手口の本格化で対策急務

セキュリティソフトベンダーや情報セキュリティ企業は、続々と2018年における脅威予想を発表しています。昨年、大きな話題となったランサムウエアなどは引き続き注意が促されていますが、各社とも新たなリスクとして脅威ランキングの上位に位置づけているのが「BEC(Business E-mail Compromise:ビジネスメール詐欺)」です。

以前、シャニムWEBでも「BECとは」ということで、その手口を取り上げました。ここでは、その最新動向と対策を中心にレポートをお届けします。

日本企業を狙った手口が本格化!?

BECとは、取引先や上司になりすましたサイバー犯罪者がメールを介してターゲットとやり取りし、偽の銀行口座などに送金させて金銭をだまし盗る手口です。いわば、企業版振り込め詐欺ともいえます。

国内企業の被害では、2017年12月に日本航空(JAL)が約3億8000万円(2件)をだまし盗られた事件を記憶している読者の方もいるのではないでしょうか。

ここで注目したいのは、金額の大きさです。金銭搾取の手口としては企業を狙ったランサムウエアなどが主流となりつつあります。しかし、1件あたりの被害額はそれほどでもありません。これに対し、BECにより、サイバー犯罪者が手にできる金額はケタ違いに大きく、他の犯罪に比べてはるかにうま味があります。このため、2018年以降はBECが猛威を振るうと見られているわけです。

とはいえ、「BECって海外で急増しているものじゃないの」といった声もありそうです。確かに、JALの事件にしても、その被害は海外の金融会社との取引や海外事業所で発生した事案ですし、国内で公表されている2016年以降のBEC被害(下記表:トレンドマイクロ資料より引用、一部編集)も海外との取引において発生したものが多いようです。

時期 業種 概要
2016年3月 不動産管理会社 外国人オーナーを装った犯人に、ペンションの宿泊代金など約2000万円をだまし盗られる
2016年11月 貿易会社 サウジアラビアの取引先になりすまし、ライバル会社にメールを送信し見積りを不正入手。逮捕
2017年2月 農機具販売会社 海外取引先に農機具を発注。300万円をだまし盗られる
2017年2月 貿易会社 フィリピンの農業用肥料販売会社から貿易会社への取引代金580万円が国内別会社に送金される。容疑者逮捕
2017年3月 農機具販売会社 海外取引先に農機具を発注。500万円をだまし盗られる

 

しかし、情報セキュリティ各社は「ランサムウエアがそうであったようにBECも日本語の壁を超えることは容易であり、国内でもBEC被害が急増する兆候がある」と警鐘を鳴らしています。

これを裏付けるようなデータが、いくつか報告されています。例えば、日経コンピュータはBECに関する独自調査を実施。「ビジネス詐欺メールを受け取った企業の割合は63.6%。その約4割はなりすましに気づかずにメールのやり取りを行い、1割は被害にあった」(同誌レポートより引用)との報告を挙げています。「海外と取引はないから」ということではなく、日本国内にもBECが浸透しつつあるという事実を認識することが欠かせません。

メールアカウントの乗っ取りに注意!

BECの存在を認識した上で、事業者が取るべき対策について、情報セキュリティ各社は主に3つのポイントを挙げています。

・メールの盗み見防止
 ・金銭送金を指示するメールへの警戒
 ・従業員への教育や注意喚起

BECにだまされてしまう最大の理由は、巧妙ななりすましです。サイバー犯罪者にとって、その情報源となるのが「メールの盗み見」です。メールアカウントを乗っ取るだけでなく、メールのやり取りを数カ月にもわたって監視することで、事前にキャッシュの流れなどさまざまな業務情報を集めて実在の人物になりすますため、だまされる側が詐欺メールかどうかを見抜くことを難しくしています。

例えば、正規の送金依頼メールが送られてきた直後に、銀行口座の訂正メールが送られてくるなど、絶妙なタイミングで攻撃を仕掛けられては信用してしまうのではないでしょうか。

このため、被害を防ぐためにはメールアカウントの乗っ取りなどによるメールの盗み見を防ぐことが大前提となるわけです。

具体策は、基本的なセキュリティ対策と変わりません。OSやセキュリティソフトなどの更新プログラムは常に最新版を適用して脆弱性を解消し、セキュリティソフトを導入するといったことが挙げられます。また、フィッシング詐欺サイトに誘因してアカウント情報不正入手しようとする手口も相変わらずなので、注意が必要です。

最近は、スマートフォンやタブレット端末のビジネスでの活用や働き方改革などを背景に、IDとパスワードで使えるクラウド型のメールサービスが業務で使われるケースが増えています。それだけに、パスワード管理なども対策として求められます。

●BEC事例で実際に確認されたフィッシング詐欺サイト(トレンドマイクロ資料より引用)
●感染した不正プログラムが収集したアカウントとパスワードのログ表示例(トレンドマイクロ資料より引用)

メールアカウントを搾取する手口では、ソーシャルエンジニアリング(電話やメールなどのやり取りで心理的なスキを突いて情報を聞き出すこと)も多用されています。不審な電話やメールに注意するのはもちろん、安易に情報を伝えないということも重要でしょう。

また、効率重視の点からメールだけで完了する案件も多いですが、指示変更などがあった場合や不審に感じた場合、メール記載の連絡先ではなく、いつもの取引で使っている電話番号などへ連絡して、直接事実の確認を行うことも対策の1つといえます。BEC対策の視点でいえば、特に金銭に関連したやり取りについては細心の注意が必要といえます。

BECの標的とされるのは、経理担当者はもちろん、一般従業員が狙われることも多いといいます。従業員への教育や注意喚起は欠かせません。この4月に新入社員を迎える事業者も多いことでしょう。BECに対する認識を強化し、改めて社内のセキュリティ環境を見直すよい機会ではないでしょうか。(長谷川丈一)