ビジネスメール詐欺（BEC）の仕組みと対策

ビジネスメール詐欺（BEC）とは、コンピューター犯罪の一種で、取引先や顧客、従業員などになりすましてビジネスメールを装い、金銭を詐取したり情報を漏えいさせたりする詐欺のことです。英語ではBusiness Email Compromiseといい、この頭文字を取った「BEC」とよばれることもあります。

過去の事例では、被害額が数億円から数十億円規模にのぼるケースもあり、情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2022」で、ビジネスメール詐欺による金銭被害は7位にランクインしています。

本コラムでは、ビジネスメール詐欺（BEC）の5つのタイプと、引っかからないための対策をご紹介いたします。

1.ビジネスメール詐欺（BEC）とは

2.ビジネスメール詐欺（BEC）の5つのタイプ

3.ビジネスメール詐欺（BEC）の被害事例

4.ビジネスメール詐欺（BEC）への対策

5.まとめ

ビジネスメール詐欺（BEC）とは

ビジネスメール詐欺（BEC）と標的型攻撃メールの違い

ビジネスメール詐欺（BEC）の概要を聞くと、標的型攻撃メールを思い浮かべる方もいらっしゃるかもしれません。

標的型攻撃メールとは、特定の組織や個人を対象に、機密情報や重要な情報を盗み取ることを目的とした悪意あるメールのことです。メールそのものにマルウェアが仕込まれていたり、マルウェアに感染させるために不正なWebサイトへ誘導するURLが記載されたりしていることが多く、特にマルウェア感染が必須ではないビジネスメール詐欺（BEC）とは区別されることが多いです。

ただ、ビジネスメール詐欺（BEC）が、標的型攻撃メールの一種として分類されることもあり、厳密に両者の違いが定義されているわけではありません。

標的型攻撃メールについて詳しくは、下記の記事をご覧ください。

【参考サイト】
標的型メール攻撃とは？被害を受けないための見分け方と４つの対策

ビジネスメール詐欺（BEC）の5つのタイプ

先述のIPAが2020年4月に発表した「ビジネスメール詐欺「BEC」に関する事例と注意喚起（第三報）　～巧妙化する日本語の偽メール、継続する攻撃に引き続き警戒を～」によれば、ビジネスメール詐欺（BEC）には、次の5つのタイプがあります。

タイプ1：取引先との請求書の偽装

取引のやり取りを行うメールに割り込んで偽の請求書（振込先）を送るといった手口です。
あらかじめ、両者のうちどちらかあるいは両方のメールサーバー、パソコンをマルウェア感染させておき、やり取りを盗聴できる状態にしてあるケースが多いです。

タイプ2：経営者等へのなりすまし

あらかじめ、経営者のメールアドレスを入手しておくなどして経営者になりすまし、偽の振込先を記載したメールを経理担当者などの従業員宛てに送って、金銭を窃取するといった手口です。

タイプ3：窃取メールアカウントの悪用

メールアカウントを乗っ取り、取引先に対して詐欺を行う手口です。
振込先を攻撃者の口座に書き換えた偽の請求書を送りつけるなどします。
実際に過去に取引があれば、正規の請求書と誤認しやすい方法です。

タイプ4：社外の権威ある第三者へのなりすまし

社内の従業員などではなく、社外の顧問弁護士や税理士などの権威ある人物になりすまし、偽の振り込み先を指示するメールを送るといった手口です。

タイプ5：詐欺の準備行為と思われる情報の詐取

今後の詐欺の実行のために情報収集を行う目的で、経営層や人事部などになりすまし、社内の従業員の情報を詐取するといった手口です。

ビジネスメール詐欺（BEC）の被害事例

ビジネスメール詐欺（BEC）では、どのような被害が考えられるのでしょうか？
過去に実際にあった被害事例を3つご紹介いたします。

取引先を装ったメールに応じ、最大40億円の被害（トヨタ紡織ヨーロッパ）

自動車内装品や自動車用フィルターを製造するトヨタ紡織株式会社の子会社で、ヨーロッパ地域を統括するトヨタ紡織ヨーロッパ（TOYOTA BOSHOKU EUROPE N.V.）は、2019年9月、最大40億円の詐欺被害が発生したことを発表しました。当初は、捜査情報に関わるためとして詳細な手口を明かさなかったものの、後に同社の財務会計部門に送られた、正規の取引先を装ったメールに応じ、送金したことが判明しました。
メールは「至急、取引を行わないと、トヨタ自動車の製造に遅れが生じる恐れがある」という脅迫を伴う内容で、これはビジネスメール詐欺（BEC）の典型的な手口だといいます。
同社は、この被害の影響で2020年3月期の業績予想を下方修正しました。

約240万円の詐欺未遂（スカイマーク株式会社）

日本のLCC（格安航空会社）で最大手のスカイマーク株式会社は、金銭の被害は出なかったものの、2016年6月と2017年10月の2回にわたって実在する取引先を装ったメールを受け取ったといいます。

内容はどちらも「振込先を変更した」というもので、1回目は40万円を請求され、実際に担当者が振り込みを行ったものの、口座は凍結されており、これを不審に思って取引先に問い合わせたところ、送られたメールが詐欺であったことが判明。
2回目は、1回目とはまた別の取引先を装ったメールで、1回目の詐欺未遂で警戒を強めていた同社が取引先に確認して詐欺メールであることがわかったといいます。

ビジネスメール詐欺（BEC）への対策

このようなビジネスメール詐欺（BEC）の被害に遭わないために、取れる対策は以下の5点です。

ソフトウェアは最新の状態に

「ビジネスメール詐欺（BEC）の5つのタイプ」や「ビジネスメール詐欺（BEC）の被害事例」をお読みいただくとわかるように、ビジネスメール詐欺（BEC）では、あらかじめ窃取しておいた、実在する取引先や従業員などのメールアドレスを悪用したものであるケースも多いです。実際のメールアドレスから届いた口座変更の連絡などであれば、正規の連絡だと信じてしまいやすいでしょう。

メールアドレスやメールでの取引先とのやり取りを盗聴されないためには、OSやアプリケーション、セキュリティソフトを常に最新版にアップデートして、既知の脆弱性に対応しておき、不正アクセスやマルウェアの侵入を防ぐことが大切です。

対応されていない既知の脆弱性を狙った「Nデイ攻撃」は、パッチが提供される前を狙う「ゼロデイ攻撃」に比べてはるかに多いです。ソフトウェアは最新の状態を保ちましょう。

メールを注意して確認する

経営層や取引先などから、メールで送金の指示や督促、口座変更の連絡があった場合は、メールを注意して確認しましょう。

本文の言い回しなどに不自然なところはないか、添付された請求書のフォーマットはいつも使っているものと同じかどうか、差出人のアドレスが正規のものか、電子署名が付いているかどうかなどをチェックしてください。
アドレスについては、「w（ダブリュー）」が「v（ブイ）」を2つ重ねたものになっていたり、「o（オー）」が「0（数字のゼロ）」になっていたりと、似せたものが使われているケースもあります。

少しでも違和感があれば、メールの指示に従わずに、相手に確認しましょう。