ビジネスメール詐欺とは？標的型メールとの違いや手口、対策を解説

ビジネスメール詐欺とは

ビジネスメール詐欺とは、組織や企業に偽の電子メールを送りつけ、従業員を騙して送金取引に係る資金を詐取するなどの金銭的な被害をもたらすサイバー攻撃です。英語では"Business E-mail Compromise"といい、略して「BEC（ビーイーシー／ベック）」と呼ばれることもあります。

ビジネスメール詐欺の見分け方

巧妙な手口を駆使したビジネスメール詐欺を見分けるには、メールアドレスや本文、添付ファイルの拡張子などをしっかり確認することが重要です。

例えば、メールアドレスの"@（アットマーク）"より後ろの文字列や本文に違和感がないか、単語の間に妙なスペースが空いていないか、添付ファイルの拡張子が".exe"のような怪しいものではないかなど、届いたメールをよく確認することで詐欺被害を防止できる可能性が高まります。

ビジネスメール詐欺と標的型メールの違い

ビジネスメール詐欺と混同されがちなものに、標的型メールがあります。この2つは似て非なるもので、ビジネスメール詐欺が金銭の詐取を目的とする詐欺であるのに対し、標的型メールの目的は機密情報の窃取です。

また、ビジネスメール詐欺は取引先や経営者などになりすまし、実際のメールのやり取りに介入する形でメールを送りつけますが、標的型メールは何の前触れもなく突然メールを送りつける場合が多く、送信のタイミングにも違いがあります。

ビジネスメール詐欺の主な4つの手口

ビジネスメール詐欺にはさまざまな手口があり、どれも巧妙かつ多額の被害をもたらします。ここからは、ビジネスメール詐欺の代表的な4つの手口を見てみましょう。

取引先へのなりすまし

ビジネスメール詐欺に多い手口として、取引先とのやり取りをなんらかの方法で入手し、攻撃者が取引先になりすますことで金銭を詐取する方法が挙げられます。この手口は海外企業との取引をおこなっている企業がターゲットにされることが多く、「振込口座に変更がある」「以前送った請求書に訂正箇所があった」といった偽メールが届くというものです。

経営者等へのなりすまし

この手口は"CEO詐欺"や"企業幹部詐欺"とも呼ばれる方法で、企業の経営者や幹部になりすました偽メールを従業員へ送り、攻撃者が用意した口座へ振り込ませる手口です。主に財務・経理などの金銭管理をおこなう部門が被害に遭う傾向にあり、場合によっては「極秘事項」「機密情報」などの文言を加えることで、メールを受信した従業員がほかの従業員に相談しないように仕向けることもあります。

弁護士や法律事務所へのなりすまし

弁護士や法律事務所といった社外の権威ある第三者になりすまし、財務・経理を担当する従業員に偽メールを送りつけ、攻撃者が用意した口座へ振り込ませる手口もあります。例えば、企業の社長の代理人弁護士になりすました攻撃者が秘密裏かつ迅速に対応するように求めることで、財務・経理担当者は誰にも相談することなく偽口座へ振り込みしてしまうケースも少なくありません。

窃取したメールアカウントの悪用

なんらかの方法で従業員のメールアカウントを窃取し、そのアカウントを乗っ取ったうえで取引実績のある企業へ偽メールを送りつける手口もあります。偽のメールアドレスではなく、実際に使用しているメールアドレスを用いるため、メールの受信者はビジネスメール詐欺だと気付きにくいことが特徴です。

ビジネスメール詐欺を防ぐ効果的な対策

巧妙な手口で金銭を詐取するビジネスメール詐欺には、適切な対策が必要不可欠です。そこで、ここからは効果的なビジネスメール詐欺対策をご紹介します。

ソフトウェアやOSのバージョンを常に最新の状態にしておく

セキュリティソフトやパソコンのOSのバージョンは、常に最新の状態を保つよう心がけましょう。ソフトウェアやOSのアップデートを怠ると、その脆弱性をついた攻撃者によって機密情報を盗まれる危険性が高まります。

ビジネスメール詐欺では、キーボードの操作履歴を盗むキーロガーをはじめとするマルウェアが用いられる場合が少なくありません。マルウェア感染を防ぐには、ソフトウェアやOSのバージョンをアップデートして脆弱性を改善し、より多くのマルウェアを発見して駆除することが重要です。

ID・パスワードを厳重に管理する

メールアカウントや業務で使用するサービスのID・パスワードの管理には、細心の注意を払いましょう。特にパスワードに関しては、複数のサービスで同じパスワードを使い回したり、推測されやすい単純な文字列を用いたりするのはおすすめできません。

ID・パスワードの管理にお悩みの場合は、IDaaS（Identity as a Service）の導入がおすすめです。IDaaSにはユーザーに代わってログインをおこなう機能があり、ユーザーは一度IDaaSにログインすると他のサービスはログイン処理をせずに利用できるようになります。その結果、複数のID・パスワードを管理する必要がなくなり、セキュリティ面の不安を軽減することが可能です。

また、IDaaSの認証時は2つ以上の認証を組み合わせておこなう二要素認証の設定ができます。管理者が二要素認証機能を必須に設定することでID・パスワードのなりすましを防止できます。

オプテージが提供するIDaaSの詳細は、こちらからご確認ください。

>>IDaaS｜OPTAGE for Business

メールセキュリティサービスを利用する

なりすまし対策やフィッシング対策が可能なメールセキュリティサービスの利用もおすすめです。例えば、マイクロソフトが提供する Microsoft 365 の電子メールセキュリティサービス Exchange Online Protection を導入すれば、フィッシング攻撃をはじめとする悪意あるコンテンツから電子メールを守れます。

ウイルス対策ツールを導入する

ビジネスメール詐欺を防止するには、ウイルス対策ツールの導入も欠かせません。マルウェア感染を防ぐために、信頼性の高いツールを導入することが大切です。

ウイルス対策ツールにはさまざまな種類があり、機能や価格は製品によって異なります。それぞれの性能を比較し、優れた防御性能・個人情報の保護性能を誇る製品を選定しましょう。

電子署名を用いる

請求書などの重要書類をメールで送る場合は、電子署名の使用がおすすめです。電子署名とは電子文書が作成者本人によって作成されていることや、第三者に改ざんされていないことを証明するもので、紙文書でいう印鑑や手書きサインと同じ役割を果たします。

電子署名は電子文書の信頼性を担保し、安全性を高める役割があるため、ビジネスメール詐欺の対策として有効です。

従業員のリテラシーを向上させる

ビジネスメール詐欺を防ぐためには、社内研修を実施してセキュリティに関する情報を共有するなど、従業員のリテラシーを向上させることが重要です。どれだけ効果的なツールを導入したとしても、従業員のリテラシーが低ければビジネスメール詐欺の被害に遭う可能性があります。請求や口座変更に関するメールが届いた場合は他の従業員と情報を共有し、メールアドレスや本文などに違和感がないか確認するなど、ビジネスメール詐欺の基本的な注意事項から伝えましょう。

また、従業員がビジネスメール詐欺に遭った場合は、最寄りの警察署またはサイバー犯罪相談窓口に通報・相談することも忘れてはいけません。従業員への聞き取りを済ませたら、すみやかにサイバー事案の情報提供をおこないましょう。

まとめ

ビジネスメール詐欺は取引先や経営者等になりすまし、偽メールを送りつけて金銭を詐取する詐欺の手法です。その手口は巧妙で、場合によっては実際に使用しているメールアカウントを乗っ取り、従業員になりすまして偽メールを送ることもあるので、非常に見極めが難しく騙されてしまう企業や従業員も少なくありません。

巧妙かつ悪質なビジネスメール詐欺を防ぐには、従業員のリテラシーを向上させるとともに、セキュリティ強化を実現するサービスの導入が欠かせません。例えば、オプテージが提供する 「IDaaS（Identity as a Service）」は、クラウドサービスをはじめとする各種システムの二要素認証などによってセキュリティを強化できるので、ID・パスワードの悪用によるなりすまし防止に有効です。

また、オプテージはウイルスやスパイウエアの脅威から端末を守る総合セキュリティサービス 「クライアントセキュリティサービス（ESET）」 や、端末内の脅威を検知して迅速に対処することで被害を最小限に抑えるシステム「EDR（Endpoint Detection and Response）」なども提供しています。多額の詐欺被害から身を守るために、これらの対策ツールの導入を検討してみてください。

オプテージが提供するサービスの詳細は、こちらのページからご確認ください。

>>IDaaS｜OPTAGE for Business

>>クライアントセキュリティサービス（ESET）｜OPTAGE for Business

>>EDR｜OPTAGE for Business

◎製品名、会社名等は、各社の商標または登録商標です。