近年世界的に増えているというビジネスメール詐欺。2018年には日本語で書かれたビジネス詐欺メールが確認され、世界的にもビジネスメール詐欺は流行しているという。海外では数十億円単位の被害も出ており、深刻化している。今回はビジネスメール詐欺の実態やその対策について紹介します。

今、巧妙な詐欺メールが企業に押し寄せている

先日、情シスNavi.の記事でも紹介した「Trend Micro DIRECTION」のセキュリティカンファレンスにて、『企業対象のビジネスメール詐欺が流行している』との最新報告がありました。（関連記事「【Trend Micro DIRECTION 2018】セキュリティリスク管理の方程式で被害を抑える」）

それらの内容をもとに、現在流行しているビジネスメール詐欺について解説します。

 

知っていましたか？増えている被害実態

カンファレンスを主催したトレンドマイクロ社の調査報告によると、全世界の5000人以上の大企業でなんと６割以上、そして中小規模の企業でも３割以上がビジネスメール詐欺を受けたことがあると回答があったとのこと。
トレンドマイクロ社によるとFBIの公表情報から、2017年から2018年の約1年間では、それ以前の3年間のビジネスメール詐欺被害件数の2倍近くの被害件数が出ており、ビジネスメール詐欺が急激に増加していることがわかったそうです。
被害額も大きく、全世界での2017年から2018年5月までの月平均被害額は472億円にもなるといいます。

そもそも、ビジネスメール詐欺とはどのようなものかご存じでしょうか？

ビジネスメール詐欺とは、ビジネスの取引相手や企業の経営者になりすまし、巧妙なメール偽装を行って、メール受信者に振り込みを要求したり情報を送信させたりして、金銭や情報をだまし取る手口の詐欺のことです。
主に、取引相手になりすますケース、受信者と同じ会社の経営層になりすますケースが多いようです。実在する人物の名を騙り、受信した人がつい信じてしまうほどの巧妙な内容のメールが突然送られてくるのです。さらに何度かメールのやりとりを行うこともあり、最後に「振り込み口座を変更したのでこちらに送金をお願いします」などと金銭の要求をしてきます。

 

知っておこう、ビジネスメール詐欺の手口

このビジネスメール詐欺は手が込んでおり、まず受信者をだますためのリアルな演出となるような犯罪行為が前段に行われます。トレンドマイクロ社では、この詐欺のフローを４ステップに区分けし、定義しています。

ステップ1：業務メールを盗み見るための攻撃を仕掛ける
ステップ2：業務メールの盗み見やインターネットから情報を収集
ステップ3：なりすましメールを送る
ステップ4：騙された従業員が偽の口座へ送金、攻撃者に情報送付

（Trend Micro DIRECTIONセッションでのビジネスメール詐欺フロー紹介の様子）

ステップ1は、情報の盗み見です。
犯罪者は最初に、メールを送る際の情報取得のために、攻撃を仕掛けます。キーロガーによる情報搾取やフィッシング詐欺などにより、メールのアカウント情報や人物情報を盗み出します。

ステップ2は、上記の攻撃によるメールの盗み見やネットなどで情報を集めます。ターゲットのつきあいのある人間関係や企業関係、使っている定型文や書類形式などの情報です。この作業を行うことによって、犯罪者は、受信者が信じ込んでしまうようなリアルなメールを作り上げます。

ステップ3は、なりすましメールを送ります。その際、返信先アドレスの偽装や、海外でのドメインサービスを利用して「accountant.com」などの業務に関係ありそうなアドレスを用意する、正規アドレス内のアルファベットの「l（小文字“エル”）」を数字の「1（いち）」に変更するなどの手口を使い、一見してわからないよう偽装を行います。

ステップ4では、騙された受信者が偽の口座に送金をしたり情報を送付したりしてしまうよう誘導し、金銭や情報を得るのです。

そして、こんなメールが送られてきます！

（Trend Micro DIRECTIONミニセッション　日本事務器株式会社スライドより）

これは同カンファレンスのミニセッションで紹介された詐欺メール例になります。
この内容をよく見ていただきたいのが、差出人アドレスが「co“m”pany」ではなく、「co“rn”pany」となっていることにお気づきでしょうか？
差出人の名前が見慣れた名前（社名）だった場合は、こんなに細かいところまでチェックしない人が多いのではないかと思います。

整理するとビジネス詐欺メールには、以下のような特徴があります。

・「機密」を強調し、受信者が他者に相談せずに抱え込むように誘導する

・「至急」「弁護士と相談」など、受信者を焦らせるような文言を使う

・メールアドレスの一部が改変されている

「内々に機密扱いでお願いしたい事項がございます」、「至急を要するので」、「弁護士からご連絡はございましたでしょうか？」などと、『重要機密』を強調したり、『至急』や『弁護士』などの受信者を焦らせ、思考停止させるような文言が入っています。そして、思考停止させることで、他の人と相談をしたり冷静になって詐欺と疑ったりしないように、ターゲットをコントロールしようとしているのです。

メールアドレスの“a”を“o”にするなどわかりにくいように一文字だけ変えたり、CCメールアドレスの一部改変や「Re:」を手で書き加えてあったりすることもあります。
差出人氏名については、実在する人物のものを使っているケースも多く、経営担当者だけにメールが送られている場合など、実在する人物の情報が漏れている事例も多いようです。

 

では、対策はどうすればよいのか

セキュリティについて特別な知識があるわけではない一般社員であれば、巧妙に偽装したビジネス詐欺メールを見破ることは、なかなかに至難の業かもしれません。

しかしながら、トレンドマイクロ社の調査では、メール受信後に実害を防げた実例として、振り込み前の稟議など業務プロセスの中で気づいた例、セキュリティ製品が検知して防げた例があったとのこと。このように、他者の目を通すなどの運用によって詐欺を見破りやすくする、また、セキュリティ製品を使うなどが当面の対策ではないでしょうか。

それでは、具体的な対策を見てみましょう。

1）ビジネスメール詐欺に強い組織を作る
ビジネスメール詐欺には、まずその企業の周辺情報を盗み見るという段階がありました。そこでは、経理担当者や情シス担当者だけでなく、一般社員も狙われています。そこで、一般社員にも詐欺を見破れるよう、セキュリティの意識を高めセキュリティ教育を行うことは有効と考えられています。
振り込みを要求する怪しいメールが送られてきた場合は、メールヘッダにおかしな箇所がないか確認し、判断がつかない場合は自分がもともと知っていた連絡先に電話したり、直接会って状況の確認を行ったりすることを徹底させるなどの意識を持つようにすることです。
また、振り込みの承認プロセスや情報送信時のルールや運用を見直し、必ず受信者以外の他者の目が入るような仕組み作りも大切です。

2）詐欺メール受信訓練サービスも
特に、ビジネスメール詐欺対策の意識向上のため、メール詐欺研修を行う企業もあります。
「標的型メール訓練サービス メル訓クラウド（アイエックス）」や「標的型メール訓練サービス（NTTテクノクロス）」など、訓練用メール送信サービスはいくつかあり、受信者が開封してしまった場合には、関連するセキュリティ教育コンテンツを表示するなど、意識を向上させる内容となっています。
その他にも大塚商会などセキュリティサービスを提供する企業で、詐欺メール受信体験ができるサービスが増えています。こういったサービスはトヨタ株式会社などの企業で採用され始めており、クラウド型のサービスなどは中小規模の企業でも取り入れやすくなっています。

3）情報を漏らさない工夫をしよう
ビジネスメール詐欺には、金銭目的でなく情報の搾取が目的のケースが半数くらいあるといわれています。振り込みの要求ではない場合に意識がゆるみ、企業の情報を犯罪者にうっかり提供してしまうこともありえます。
例えば、システムの設計書など、特に「機密事項」の意識がなくても、ハッキングに利用されるなど犯罪者にとっては有益な情報であることもあります。情報取り扱いについても慎重を要するよう意識を高めることが重要です。
また、SNSなどに不用意に会社内の人間関係などを書き込んでしまうと、それも利用されてしまいます。詐欺に使えそうな情報を漏らさないように社員に注意喚起することも必要になります。

4）人だけに頼らない、技術的なスキーム作り
ビジネスメール詐欺のステップ1は「情報の盗み見」です。まずはこの対策を行うことで、詐欺の“芽を摘む”効果があります。
メールの盗み見は、（クラウド型メールサービスにおける）アカウントのなりすましで行われるケースが多く見られます。このようななりすまし対策には二要素認証の導入をすることが有効です。
また、クラウド型メールサービスを使っている場合、フィッシング詐欺で不正なサイトへ誘導されてアカウント情報を抜き取られることもあります。そのような不正なサイトへの接続を防ぐWebゲートウェイ対策もよいでしょう。
そして、使用端末にキーロガーが仕掛けられていないかなどは、定期的に不正プログラムチェックで確認しておく必要があります。

5）セキュリティ製品で詐欺メールを見破る
詐欺のステップ3：なりすましメール対策、ステップ4：振り込み・情報送信防止対策には、メール解析によって怪しいメールを区別するセキュリティ製品が有効です。
なりすましメール対策製品は、詐欺メールの不自然にヘッダが書き換えられているなどの痕跡を発見してマークします。
しかしながら、これらのマークも完全ではありません。例えば、そういった痕跡探しはテキストのパターン検索を行うことが一般的ですが、犯罪者はそれをクリアするために一部画像でテキストを挿入しているケースが出てきています。現在は、画像処理も含めチェックできる製品も出ていますが、まさに犯罪者とのいたちごっこです。

セキュリティ製品導入でも100%は防げないことは肝に銘じておきましょう。

 

様々なタイプの対策を組み合わせて行うのが効果的

「Trend Micro DIRECTION」のセキュリティカンファレンスでは、トレンドマイクロをはじめとしてたくさんの企業がメールセキュリティ対策製品を紹介していました。

市販の製品でも、外から送信されてきたメールをチェックする製品や、逆に、送信するメールをチェックして注意喚起を行う製品などさまざまな機能のものがあります。メール訓練サービスも、マルウェア内包型からビジネスメール詐欺型まで多様な製品展開がされています。

自社のセキュリティ要件・求める教育レベルに合った製品を選び、かつ、社員の防御意識を高めて詐欺に対抗できるメール運用を併せて行うことが、セキュリティに強い組織づくりの助けとなることでしょう。

 

【執筆：編集Gp　星野 美緒】