ビジネスメール詐欺とは、攻撃者が標的組織の取引先や経営陣などを装ってメールをやりとりし、金銭をだましとることを目的とした詐欺です。

攻撃者がメールのやりとりの中でターゲットの信頼を得て、自然な流れで金銭を要求し窃取しようとする点から、組織を標的とした振り込め詐欺といえます。

ビジネスメール詐欺の被害額は、世界的に増加傾向にあります。

米国連邦調査局（FBI）によると、米国インターネット犯罪苦情センター（IC3）などの複数組織に報告されたビジネスメール詐欺の被害額は、2016年から2021年にかけて年々増加しています。

IC3は、COVID-19の流行により、ビジネス上のやりとりによりいっそうメールが使用されるようになったことで、ビジネスメール詐欺の被害が増加し続けている可能性を指摘しています。

またIC3は、ビジネスメール詐欺の増加傾向は今後数年間も継続する可能性があると予想していることから、組織レベルでの対策が必要な脅威といえるでしょう。

「情報セキュリティ10大脅威」とは、独立行政法人情報処理推進機構（IPA）が、過去一年間に発生したセキュリティインシデントのうち特に社会的な影響が大きい脅威を選出したリストです。

この各年のサイバー攻撃のトレンドや注意すべき脅威がわかる「情報セキュリティ10大脅威」の組織編において、「ビジネスメール詐欺による金銭被害」は2018〜2024年の7年連続でランクインしています。ビジネスメール詐欺の被害はなかなかあとを絶たず、注意すべき脅威として長年注目されていることが分かります。

まずは、ビジネスメール詐欺の被害が発生する仕組みとその攻撃手口について説明します。 

ビジネスメール詐欺の攻撃の仕組みを説明します。まず攻撃の準備段階では、攻撃者はなんらかの方法でなりすます対象の情報を入手します。

具体的には、フィッシングメールを送り情報を窃取するマルウェアに感染させたり、ユーザアカウントへ不正アクセスしたりすることで、実際のメールを盗み見て情報収集する事例があります。また、SNSや企業のホームページなどの公開情報から、標的の情報を集めるケースも考えられます。

その後、実際に標的とするユーザが信用できる第三者を装ってメールを送付し、収集した情報をもとに自然な流れで金銭を要求します。

以上の仕組みからわかる通り、ビジネスメール詐欺はターゲットからの信頼を得て、受信者が不審感を抱かないように工夫して金銭を請求する点が特徴です。また、自然な流れで振込まで誘導するために、攻撃者が綿密に情報収集をする点も特徴です。

ビジネスメール詐欺では、取引先や経営陣を装って、その取引や案件は機密であると語ることで、標的のユーザが周囲に相談できないようにする手口があります。 

ビジネスメール詐欺では、攻撃者が弁護士や法律事務所といった権威のある第三者や機関のふりをして、金銭の振込を要求する手口があります。例えば、攻撃者が社長の代理弁護士と名乗り、機密案件と称して経理部の従業員に対して金銭を振り込むように促してくることがあります。 

代表的なビジネスメール詐欺の手口として、攻撃者が標的となる企業の経営陣や幹部を装い、経理部や財務担当に対して指定の口座への振込を依頼する方法があります。経営陣という権威のある人物からの依頼を装うことによって、急いで対応すべき重要な事項として認識させることが狙いです。 

経営陣へのなりすましと並んで代表的なビジネスメール詐欺の手口として、不正アクセスなどによって実際の取引先とのメールを情報収集し、過去のやりとりを踏まえた自然な流れで取引先を装って金銭の振込を要求する方法があります。

例えば、取引先と契約や請求に関する話をしているタイミングを見計らって、攻撃者が偽の請求書と振込先情報を送付し、金銭を振り込ませる事例が確認されています。 

不正アクセスやマルウェア感染などによって取引先や経営陣などのメールアドレスを盗み、盗んだアカウントを悪用してビジネスメール詐欺をしかける手口があります。この場合、本物のメールアドレスからメールが送られるため、標的のユーザは詐欺であることに気づきにくいです。 

こちらでは、具体的なビジネスメール詐欺の被害事例を紹介します。 

2017年、大手航空会社がビジネスメール詐欺によって、約3億8000万円の被害にあったことを発表しました。

攻撃者は取引先を装って取引先とのやりとりに割り込み、実際に送られた請求書の訂正版を装った偽の請求書を送付して金銭を振り込ませるという手口を使いました。メールには、振込先の口座を変更した旨が記載されており、海外の口座が指定されていたとのことです。

担当者がお金を振り込んだ後、攻撃者によって全額が引き出され、支払った金銭の回収ができなくなってしまいました。 

2016年と2017年の2回にわたって、格安航空会社がビジネスメール詐欺の標的として狙われました。

2016年に攻撃者が取引先の従業員と偽って、振込先の口座を変更した旨のメールを送付してきました。担当者は振込手続きを行ってしまったものの、振込先の口座が凍結されていたために金銭的な被害は免れました。

2017年にも、取引先を装った攻撃者より振込先を変更した旨のメールを受け取りました。この時は、2016年のインシデント発覚後に社内で注意喚起を行っていたため、担当者が不審に思い取引先に直接確認することで、ビジネスメール詐欺だと判明しました。

2022年、国内のある企業の社長と偽った攻撃者が、グループ会社の役員に対してビジネスメール詐欺をしかけました。攻撃者は「M&Aに協力してほしい」という旨のメールを送り、金銭を振り込むように要求しました。

グループ会社の役員はやりとりの中で案件の進め方に関する相談先を質問したものの回答が返ってこなかったことを不審に思い、依頼元の企業に電話で確認したことでビジネスメール詐欺だと判明しました。振込前に気づいたため、金銭的な被害は発生していません。

2019年、国内自動車部品メーカーは海外に拠点を置く子会社がビジネスメール詐欺にあい、最大40億円の被害が発生したことを発表しました。

資金が流出した後に、金銭を要求する指示はなりすましであったことに気づきビジネスメール詐欺の被害が判明したとのことです。

2022年、人材開発サービスを提供する国内企業が子会社の2社において、ビジネスメール詐欺の被害が発生したことを発表しました。

攻撃者より、支払代金の送金を指示するメールが子会社2社あてに届き、合わせて約530万円程度を振り込んでしまったとのことです。 

2022年、攻撃者がサイバー情報共有イニシアティブ（J-CSIP）に参加している海外関連会社を装って、海外の取引先企業にビジネスメール詐欺をしかけました。

攻撃者は海外関連会社のメールアカウントを不正に乗っ取り、従来の銀行口座が使えなくなるため新しい口座に振り込んでほしい旨をメールしました。

取引先企業の担当者は、当初メールに返信してしまったものの、その後のやりとりの内容に不審感を抱き関係者に通報したことで、ビジネスメール詐欺であることが明らかになりました。振込前に通報して詐欺に気づいたため、金銭的な被害は発生していません。

本事例では、攻撃者がメールのCCに取引先の関係者のメールアドレスに見せかけた連絡先を指定して受信者とやりとりしており、実際の取引先の関係者がCCに追加されて詐欺が判明する事態を避ける工夫が施されていました。

ビジネスメール詐欺攻撃にあわないためには、どのような対策を実施すればよいでしょうか。本記事では、個人でできる対策と組織で実施すべき対策に分けて説明します。 

マルウェア感染などによって窃取されたアカウント情報を悪用して取引先や経営陣を装い、ビジネスメール詐欺が行われた事例があります。メール内の添付ファイルやリンク経由でマルウェア感染や不正アクセスなどの攻撃にあう可能性があるため、不審なメールは開かないように徹底しましょう。 

攻撃者はメールアカウントを乗っ取り、ビジネスメール詐欺のメールを送ることがあります。そのため、攻撃者によって推測されやすいパスワードは避けましょう。推測されやすいものの例として、誕生日などの日付、自身の名前やよくある単語の組み合わせなどがあります。

メールアドレスは名前と企業名の組み合わせから簡単に推測されてしまいます。メールアカウントを乗っ取られないためには、パスワードを大文字、小文字、数字、記号を混ぜた複雑性の高いものに設定することが重要です。

日ごろから、送信元のメールアドレスや件名、メール本文に不審な点がないか留意しましょう。送信元のメールアドレスが正規のものから一部別の文字に変換されていたり、アンダーバーやドットなどが分かりにくいように追加されていたりするケースがあり得ます。

また、言葉づかいが不自然であったり、金銭の支払いを急かすような文言がちりばめられていたりする可能性があります。

セキュリティ対策の基本として、パソコンのOSは常に最新版を保つようにしましょう。アップデートを怠り脆弱性のあるOSを利用し続けていると、マルウェア感染や不正アクセスといったサイバー攻撃にあうリスクが高まります。 

続いて、ビジネスメール詐欺に対して企業や組織レベルで実施すべき対策を紹介します。 

支払い処理については、メールでの請求書送付にあわせて電話やチャットでも確認をとるなどのルールを設けることで、即座に不審な請求に気づけるようにしましょう。

支払い処理規則を明確に定義しておくことで、通常時のやりとりとの違いや不審感に気づきやすくすることができます。

事前に社内でビジネスメール詐欺に関して注意喚起していたことで、金銭的な被害から免れた事例が報告されています。不審なメールの見分け方や、攻撃手口、他社の被害事例などを周知し、従業員のセキュリティリテラシーの向上に努めましょう。 

また、不審なメールの報告窓口を設置したり、報告を受けた場合の対応フローを整備して周知しておくことで、インシデント発生時に組織が一体となってスムーズに対応を進めることができます。

メールアプリケーション向けのセキュリティ対策ソフトを導入することで、ソフトウェア側で不審なメールや迷惑メールのフィルタリングを行うことができます。

攻撃者に乗っ取られた正規のメールアドレスからのメールをブロックすることは難しいですが、フィルタリング機能を用いることで、明らかにリスクのあるメールが従業員のもとに届くことを阻止できます。

組織で利用しているメールアプリケーションがフィルタリング機能や、メールの送信・受信に関するポリシー設定機能などを備えているケースも多いため、まずは自組織のメールアプリケーション上でセキュリティ対策の機能が有効か見直しましょう。

また、ウイルス対策ソフトを導入し、マルウェアや不正アクセスなどからパソコンを守ることも有効な対策です。

電子署名は、電子文書に対して誰がいつ作成したかを証明するために施すサインのことです。

メールに対して電子署名機能を利用することで、なりすましや改ざんがされていないことを証明できます。

また、取引先や顧客に対してメールする際に電子署名を施すことで、自組織を装ったビジネスメール詐欺の被害から受信者側を守ることにつながります。

ファイアウォールやルーターなどネットワーク機器のログを監視する製品を導入することで、攻撃者による不審な通信を早期に検知・ブロックすることができます。

ビジネスメール詐欺の準備として、攻撃者が標的のアカウントを乗っ取り、不正アクセスや情報窃取などの攻撃活動を行った事例があります。そのため、こうした不審な動きを早期に検知しブロックする仕組みづくりをするとよいでしょう。

ネットワーク監視製品の導入だけで終わらず、不審な通信を検知した場合のアラートを監視する運用を整備し、セキュリティインシデントが疑われる場合は即座に対応できる体制を構築しておきましょう。

ビジネスメール詐欺に対して各個人や部門ごとに実施すべき対策などについて規則を策定し、徹底的に周知することをおすすめします。

また、ビジネスメール詐欺のリスクを身近に感じてもらうために、規則の周知に合わせて被害事例の紹介も行うとよいでしょう。

組織内で不審なメールの受信が確認された場合や、同業他社でビジネスメール詐欺の被害が確認された場合などは、タイムリーに組織内に情報展開しましょう。

組織内に不審なメールが届いた際に素早く注意喚起することで、被害の拡大を防ぐことができます。そのため、不審なメールの受信時は即座にセキュリティ担当者などに通報するように徹底して周知することが大切です。

不審なメールを受信した際に、メール以外の手段で正規のメールか確認するための方法を用意して明文化しておくとよいでしょう。事前に取引先などとルールを決めておくことで、実際に不審なメールを受信した際に送信元への確認や組織内の報告窓口への報告をスムーズに行うことができます。 

電話やチャットなどメール以外のコミュニケーション方法を事前に控えておきましょう。取引先などについてメール以外の連絡先を知らない場合、不審なメールの受信時になりすましでないことを確認する手段がなく対応に時間がかかってしまいます。 

DMARCは、送信ドメイン認証によってメールの送信元が偽装されていないか確認し、偽装されているリスクがある場合は事前に定義したポリシーにそってメールを処理できる技術です。

ポリシーでは、送信ドメイン認証に失敗した場合に受信を拒否するか、迷惑メールボックスに隔離するか、なにもしないかを定義できます。

フィッシングメールやビジネスメール詐欺の対策に有効な技術のため、組織が利用しているメールアプリケーションがDMARCに対応している場合は有効にするとよいでしょう。

ただし、DMARCは受信者側のメールアプリケーションもDMARCに対応していることで有効になる機能であり、受信者側が未設定の場合は機能しません。そのため、DMARCだけに頼らず、メールのフィルタリング機能やセキュリティ対策ソフトといった他の対策とあわせて検討することをおすすめします。

こちらでは、ビジネスメール詐欺に巻き込まれた場合に、事後の対応策として実施すべき事項を説明します。 

ビジネスメール詐欺の準備段階にて、攻撃者がユーザのアカウントに不正アクセスやマルウェア攻撃をしかけ、なりすましをするために必要な情報を窃取することがあります。

そのため、詐欺メールを受信した端末や、送信元として悪用されたアカウントを利用する端末にて、ウイルス感染の有無をチェックするとよいでしょう。ウイルス対策ソフトの機能で端末をスキャンすることで、簡易的に確認できます。

なお、マルウェア感染などの疑いがある場合は、ウイルス対策ソフトによる検知を回避して攻撃が成功している可能性があるため、専門機関に調査を依頼し、詳細に端末の状態をチェックすることが望ましいです。

また、メールの送信に正規のアカウントが悪用された場合、アカウントが乗っ取られている可能性が大きいため、速やかにパスワードを変更しましょう。

ウイルススキャンやパスワード変更など被害の拡大を防ぐための臨時対応が終わったら、詐欺メールが届いた原因やアカウントが乗っ取られた原因などを調査しましょう。

原因を正確に特定することで、再発防止策を検討・実施することができます。

例えば、正規のメールサーバやメールアドレスの乗っ取りによって送信された詐欺メールではなく、攻撃者が用意した不審なメールサーバやメールアドレスからの詐欺メールだと判明した場合は、メールサーバ側などでブロックするといった対策をとることができます。

類似の詐欺メールが社内や同業他社などにも届いている可能性があります。そのため、攻撃を受けた際は早い段階で社内や社外に情報連携し、注意喚起しましょう。また、適宜警察に相談し連携しながら、インシデント対応を進めるとよいでしょう。

原因究明や対応策の整理が終わった段階で、組織内に再発防止策を周知しましょう。

社内外への情報連携や、詐欺被害の通報、送金した金銭の回収などを実施するために、被害範囲や被害内容を正確に調査し、把握に努めましょう。また、詐欺メールや攻撃に関連する通信ログなどは攻撃者の特定に役立つ可能性があるため、証拠として保全しましょう。 

ビジネスメール詐欺の攻撃者が用意した口座に送金してしまった場合、直後に送金取消しの手続きをすることで、支払った金銭を回収できる可能性があります。

ただし、攻撃者が口座から全額出金しており、回収できなかったという事例が多く報告されているため、送金した金銭の回収は難しい可能性が高いと考えた方がよいでしょう。

送金先は、海外の銀行口座が指定される事例が多いため、必要に応じて海外機関や現地の警察などと連携して対応しましょう。

ビジネスメール詐欺において攻撃者は、経営陣や取引先の情報を収集して本人を装ったり、実際のメールアカウントを乗っ取ってメールをしたりと、綿密な準備のもと攻撃をしかけてきます。そのため、受信者側は詐欺だと気づきづらく、注意深く対策する必要があります。

各個人では、安易に添付ファイルやリンクをクリックせずに適切にパスワードやパソコンのOSバージョンを管理したうえで、メールの送信元や本文に不審感がないか日ごろから注意を払いましょう。

組織レベルでは、支払い処理の規則を厳格に定めて周知し、不審メールを受け取った際はメール以外の方法で内容を確認できるよう別のコミュニケーション手段も用意することが望ましいです。

また技術面では、セキュリティ対策ソフトやネットワーク機器の監視、メールの電子署名、DMARCの導入などを検討し、ユーザのもとに不審メールが届かないように多層防御を固めましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。