現在、世界中で話題となっているビジネスメール詐欺と呼ばれるサイバー犯罪をご存知ですか?犯罪の手口は、驚くほどに簡易的ですが、ターゲットユーザーに対する緻密なリサーチと人間行動の隙を巧みに利用することで被害規模を拡大させています。

過去2年間に全世界で約31億円にも及ぶ被害をもたらしており、企業組織の安全を脅かしています。今回は、2018年に日本国内で大流行したビジネスメール詐欺による犯罪の手口や具体的な対策方法について解説していきます。

2018年、国内を騒がせたビジネスメール詐欺とは?

ビジネスメール詐欺とは、ある特定の会社組織や個人に対して、取引先や経営者層であるとなりすまし、偽物のメールを送信することで、銀行口座への入金や口座変更させる金銭被害を生じされるサイバー犯罪のことです。

IPA(独立行政法人情報処理推進機構)による“情報セキュリティ10大脅威2019”にて公式発表された資料によれば、組織に対する犯罪としてビジネスメール詐欺による被害が第3位にランクインしています。実際に、昨年から勢力を急激に拡大しており、詐欺の被害に遭遇される方が増加しています。

そのため、今後は、会社組織はもちろん、個人的なメールのやりとりでもビジネスメール詐欺によるリスクについて警戒していく必要があります。

ビジネスメール詐欺で利用される手口

日常生活の中で、パソコンやスマートフォンを利用してメールを送信しているのなら、ビジネスメール詐欺に遭遇する可能性があります。では、ブラックハッカーは、どのような手口でビジネスメール詐欺を実行に移すのでしょうか。ここでは、ビジネスメール詐欺で利用される手口について確認していきます。

経営者になりすます

多くのブラックハッカーは、企業の経営者層になりすまして対象口座への金銭の振り込みを要求してきます。ビジネスメール詐欺では、下記のようなメッセージが送信されるケースが少なくありません。

・秘匿性の高い買収業務によって、事業資金の持ち出しが必要になった。今すぐ振り込んでほしい。

・新規事業の立ち上げによって、対象口座への振り込みが必要となった。他の社員に知られないように、内密に入金してほしい。

メールの内容に、緊急性や秘匿性の高さがうかがえるのであれば、それはビジネスメール詐欺である可能性が高いです。相手が経営者層の人間でも、厳正な身元確認をとることが大切です。

会社の取引担当者になりすます

ブラックハッカーは、ビジネスメール詐欺をする際、会社の担当者になりすまして、金銭の振り込みを要求してきます。

・ITエンジニアに能力的な問題が発生しており、従来の口座が利用できないため、緊急にお金を振り込んでほしい。

・不正アクセスによって従来の口座が凍結されてしまった。そのため、別の口座にお金を振り込んでほしい。

・会社の業務に対して税務調査が入り、現在の銀行口座が利用できない。別途指定する口座へお金を振り込んでほしい。

何かしらのトラブルを利用して、従来の口座が利用できないことを伝えてきた場合、ビジネスメール詐欺による犯罪が考えられます。指定口座へお金を振り込む前に、本当に取引相手であるのか、メール、もしくは電話で確認した方が良いでしょう。

国内外で続出するビジネスメール詐欺によるニュース

IPAの調査報告によればビジネスメール詐欺は、2018年9月に確認されています。そして、メールの内容も巧みであることから日本国内での被害拡大は必至といわれています。

大手航空会社のJALは、金融会社からのリース料に関することで、ビジネスメール詐欺に遭遇しました。JALの東京本社の担当者は、香港銀行に対して約3億6000万円ものお金を振り込んでしまいました。

JALの担当者への調査によって、下記の点がサイバー犯罪者の申し出を信じる要因となったことが判明しています。

・送信者のメールアドレスが普段利用しているものであったこと。

・正規の請求書の「訂正版」として、振り込み先を偽ったPDFが送信されたこと。

上記の要因に対して、JALは再発防止策として社内へビジネスメール詐欺に関する注意喚起や取引先の銀行口座を変更する際は、出納部門と担当部門の双方での事実確認を徹底するに至っています。大企業だからといってビジネスメール詐欺の被害に遭遇しないわけではありません。中小企業やフリーランスによる個人事業でも十分に起こりえるサイバー犯罪ですので、これらの事例から教訓を学ぶ必要があります。

ビジネスメール詐欺に対する有効な対策

犯罪の特定やトラブルの事前検出が難しいといわれているビジネスメール詐欺ですが、どうすればセキュリティリスクを防止できるのでしょうか。ここでは、ビジネスメール詐欺に対する有効な対策について確認していきます。

送金に関する重要なやりとりは、公式サイトの情報から電話する

相手が送金を要求してくる場合は、会社の経営者層や取引担当者でも電話による確認を徹底しましょう。メールに記載されている電話番号は偽装されているものである可能性が高いため、公式サイトに掲載されている電話番号から担当者に電話連絡することが大切です。

もしくは、自分の電話帳に登録されている電話番号から、直接入金に関する連絡を入れてください。これによって、送金に関する意思疎通を明確なものにできます。

添付ファイルを不用意に開封しない

PDFファイルの名称が“業務取引に伴う請求書”となっていても、安易に開封してはいけません。そのメールには、ウイルスが仕込まれている可能性があります。金銭の請求に関するメールを送信する際は、電話で事前連絡するなど組織内で対策することが大切です。

他にも、メール内に記載されているURLが悪質サイトへのリンクである可能性があるため、コンピュータウイルスなどのセキュリティリスクについても警戒しておきましょう。また、請求書のようなPDFファイルは、サイバー犯罪で頻繁に利用されているため、セキュリティチェックなどによって安全性の確認を徹底してください。

ログイン情報へ2段階認証を設定する

ブラックハッカーは、あなたが管理しているメールアカウントへ不正アクセスし、業務内容を盗み見ている可能性があります。そのため、IDやパスワードなどのログイン情報には、2段階認証を設定してください。

メールアカウントに対して2段階認証を設定すれば、従来よりもハッキングよる被害の遭遇率を格段に抑えられます。現在は、無料の2段階認証ツールなども数多く登場しているため、積極的に利用していきましょう。

セキュリティソフトでパソコンやスマホの安全性を高める

ビジネスメール詐欺に対して、もっとも有効な対策方法は、普段から利用しているパソコンやスマートフォンへセキュリティソフトを導入することです。無料のセキュリティソフトでは、最新のウイルスやサイバー犯罪に対して十分な対策を講じることができません。

そのため、ウェブルートの提供するような最新版のセキュリティソフトを導入してください。弊社の製品は、最新型のウイルスの脅威に対応するため、偽サイトのブロックはもちろん、ユーザー名やアカウントの番号、その他の個人情報を安全に保護する機能が搭載されています。

アンチウイルスソフトとしてIDシールド機能が備わっているため、インターネット上の安全を約束します。ぜひ、世界でもトップクラスのセキュリティ体制を体験してください。

Webroot Japan

About the Author

Webroot Japan

Webroot Japan

ウェブルートブログは企業や個人ユーザーのサイバーセキュリティ対策に役立つな最新の脅威インテリジェンスやサイバー脅威の対策など様々な情報をお届けさせていただきます。

Facebook Comments Box