中小企業におけるセキュリティ脅威への対策強化　〜ビジネスメール詐欺とは？事例から対策を学ぶ〜

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は８位に挙げられている「ビジネスメール詐欺による金銭被害」に焦点を当てます。ビジネスメール詐欺による被害は長年にわたり頻繁に発生し続けており、この脅威がどのように業務に影響を与えるのか、対策はどうすべきかを解説いたします。

１．ビジネスメール詐欺とは

ビジネスメール詐欺とは、悪意のある第三者が標的とする企業やその取引先の関係者などになりすまして偽のメールを送信し、金銭を騙し取ることを目的としたサイバー攻撃です。この攻撃は、企業の従業員を標的にした振り込め詐欺とも言えるもので、ビジネスメール詐欺（Business E-mail Compromise：BEC）と呼ばれています。

特に、企業の金銭の決裁権限を持つ責任者や直接金銭を取り扱う担当者などが攻撃の対象となることが多くなっています。

２．代表的なビジネスメール詐欺

ビジネスメール詐欺の具体的な手法をご紹介します。

（１）取引先からの請求書の偽装

攻撃者が取引先企業や担当者になりすまし、偽の請求書等をメールで送り付け、用意した口座に振り込ませる手口です。
また、ウイルス感染や不正ログイン等により、自社の従業員のメールアカウントが乗っ取られ、攻撃者が自社の従業員になりすまして、取引実績がある別企業の担当者へ偽の請求等を送り付け、用意した口座に金銭を振り込ませることで、取引先が被害に遭うケースもあります。
このような場合、メール本文は巧妙に偽装され、送信元が本物のアカウントであるため、受信したメールが攻撃であることに気付きにくい事が特徴と言えます。

（２）経営者等の権威ある者へのなりすまし

攻撃者が企業の経営者や経営陣・役員等になりすまし、従業員に業務指示を模した内容の電子メールを送信し、用意した口座へ金銭を振り込ませる手口です。
通常の社内メールでの業務指示であるかのように偽装されるため、メールを受け取った従業員は「通常の業務」として何の疑問も抱かないのが、このなりすましの特徴です。
また、弁護士や監査法人、行政庁等の社外の権威ある第三者になりすます場合もあります。

このように、ビジネスメール詐欺の前提として、標的組織の情報の窃取が不可欠であることが分かります。例えば、攻撃者が標的組織の経営者や経営幹部、または人事担当等の特定任務を担う従業員になりすまし、組織内の他の従業員の個人情報を窃取し「なりすます相手」を探すわけです。

では、ビジネスメール詐欺による金銭被害の具体的な事例をご紹介しながら、要因と対策をみていきましょう。

（３）ビジネスメール詐欺による金銭被害の事例

【事例１．メールと電話を併用したなりすまし事例】
攻撃者は標的組織の会長になりすまし、同組織の海外関連会社の社長に対して機密プロジェクトの連絡等と称したメールを送信しました。さらに、同日に今度は同組織の専務になりすまし、メールのフォローアップを口実に電話で連絡をしました。攻撃者は発信元番号を何らかの方法で同組織の代表番号に偽装し、さらに専務の声を模倣していました。このケースでは、被害者が電話の会話からなりすましに気が付き、金銭的な被害等は発生しませんでした。
引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋

この事例は、会長のメールだけでは信用しない支社長も出る事を想定して、専務からのフォロー電話で信用させようとした点が特徴的と言えます。幸い、電話の内容が通常の専務の話す内容と異なり、偽物と気が付いたため、事なきを得ましたが、これもよくできた偽造メールであったら簡単に信用していたかもしれません。

【事例2．信頼できる取引先を騙るメール詐欺】
医療製品メーカーの株式会社スリー・ディー・マトリックスは、支払口座の変更依頼が書かれた、取引先の名を騙るメールに従い、虚偽の銀行口座に総額2億円を振り込んだことを公表しました。その取引先とは創業以来の付き合いがあり、高い信頼関係があったため、同社は振込先口座の変更の理由を直接確認していませんでした。
引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋

この事例では、「長年信頼している会社からの依頼」という思い込みが最大の問題といえます。それほど付き合いの深くない取引先であれば、「急に取引口座をなぜ変える必要があるのか」と、ビジネス的な危機感を生むはずですが、長年の信頼がこの感覚を麻痺させていた事がこのなりすましを可能としています。

３．ビジネスメール詐欺による金銭被害への対策

では、次にビジネスメール詐欺による金銭被害への対策として、「被害の予防」の観点と「被害を受けた後の対応」を説明していきます。

（１）被害の予防

IPAの「情報セキュリティ10大脅威 2024解説書」の10ページ、表 1.4「情報セキュリティ対策の基本」を実施することや、ビジネスメール詐欺による金銭被害への認識を高めることが重要です。また、下記に挙げる個別の対策も有効と言えます。

◆ガバナンスが適切に機能する業務フローの構築

金銭が絡む手続きをする際は、複数人で審査、承認をする業務フローを構築し、個人の判断や業務命令だけでは完結させないようにする。また、メールだけに依存しない業務フローの構築も重要です。

例えば、振込先口座に変更がある場合は、メール以外の連絡方法（電話等）で直接取引先に確認をする、金融機関にその口座の名義等を確認するなどが上げられます。

◆普段とは異なるメールに注意する

普段とは異なる言い回しや、表現の誤り、送信元のメールドメインに注意しましょう。

◆判断を急がせるメールに注意する

至急の対応を要求する等、担当者に真偽の判断時間を与えないようにする手口も考えられます。真偽を確認するフローを業務フローに盛り込んでおく事も有効です。

◆インシデント対応体制の整備

問題発生時に迅速かつ的確に対応できる体制を整えます。

具体的な対応については、IPAの「中小企業の情報セキュリティ対策ガイドライン 第3.1版」の46ページからの（5）セキュリティインシデント対応をご覧ください。

（２）被害を受けた後の対応

ビジネスメール詐欺による金銭被害（可能性を含む）を受けた時には、下記の対応が必要となります。

◆適切な報告／連絡／相談

問題が発生した場合、速やかに報告し、適切な対応を取れるよう、社内・社外の関係組織や公的機関等と連携できるようにしておきましょう。

◆メールアカウントの設定を確認する

攻撃者による不正な転送設定やメール振分けの設定等がされていないか確認する。

◆パスワードを適切に運用する

速やかにパスワードを変更する。推測されにくく、他のシステムやサービスとは異なるパスワードを設定しましょう。

今回は、ビジネスメール詐欺による金銭被害の事例や影響、対策方法について考えてきましたが、いかがだったでしょうか。

ビジネスメール詐欺による被害はどの企業でも起こる可能性があり、その影響は甚大です。被害を完全になくすことはできませんが、ガバナンスの整備やメールだけに頼ることがない業務フローの構築等が、企業の持続可能な発展を支える鍵となるでしょう。

＜参考情報＞　他の事例を見る

・ビジネスメール詐欺の事例集を見る（IPA Webサイト）

・5億円の被害も！日本企業の不正送金・ビジネスメール詐欺被害の事例4社（サイバーソリューションズ株式会社 Webサイト）