直近で52%の増加: BEC (ビジネスメール詐欺) について理解する

2020/03/17

bec_top.jpg

毎月の終わりになると、経営者の方、または経理担当者の方は、オンラインバンキングの画面をにらめっこしながら「取引先への支払いや、顧客からの入金確認」に追われているかと思います。取引先や顧客が多ければ多いほど、振込件数ならび入金確認件数は膨大になり、1件1件細かくチェックできないのが現状です。

こうした状況を利用して行われる詐欺が、ビジネスメール詐欺、通称BEC (Business Email Compromise) です。以下でご説明します。

 

 

BECとは何か

bec_1.jpg

BECとは、メールを利用した詐欺ですが、「いますぐ100ドル支払ったら、1億円の財産が相続できます」というような、分かりやすい詐欺メールではありません。一般的なBECの手法は以下の通りです。

ターゲットとする企業に対して悪意のあるプログラムを送付、または社内で感染を広げて、情報を不正に入手します。この中に、ターゲット企業の取引先から送られたメールや請求書があると、攻撃者からすると理想的です。

次に、集めた情報に基づき、「どの取引先からの、どの名目の請求書を似せれば、詐欺が成立しやすいか」を調査・検討します。そして、取引先が普段送っている本物のメールとそっくりのレイアウト、文面のメールを作成します。これに請求書を添付し「取引先です。銀行口座が変わりました。今月からこちらに振り込んでください」と不正送金を依頼します。そして、いつもの支払いと勘違いした経営者や経理担当者が、誤って不正送金してしまう、というものです。もちろん、不正に送金した金額は戻ってきませんし、補償もされません。

つまり、BECとはメールを使った詐欺ではあるものの、「誰にでも同じ文面をばらまく詐欺メール」とは正反対のアプローチを行っています。できる限りの情報を不正に収集した上で、「この企業の経営者、経理担当者は、どうすればうっかり不正送金を行うか」について考え抜いたうえで、経営者と経理担当者の心理のすきをついて送金させるという、高度な詐欺です。

 

 

BECによる被害

bec_2.jpg

攻撃者が手間と時間をかけて収集した情報に基づき、考え抜いたうえで、取引先を模したメールを送り、不正送金をさせるのがBECですが、ここに至るまでにかなりの工数がかかっています。別な言い方をすると、これだけの工数をかけて不正送金させた金額が100ドルなどでは「割に合わない」ため、攻撃者は一度の送金でできるだけ多額の送金を成功させようとします。一般的なばらまき型のメール詐欺と比べて、BECは「一攫千金」の要素が強いのです。

BECは世界中のありとあらゆる企業がターゲットとなっています。そして、一攫千金、つまり1件あたりの被害額は甚大です。例えば、2017年6月には、アメリカ・オレゴン州の南オレゴン大学で、学生向け施設の建設会社を模した模したメールにより、200万ドル (2億1000万円) の不正送金が発生しています。また、2018年には、イタリアのエンジニアリング企業であるTecnimontのインド子会社に対して、親会社のCEOを模したメールを送り、インド子会社から香港の銀行に3度の送金で1860万ドル (20億2000万円) を振り込ませています。

日本企業も例外ではありません。2017年12月に日本航空がBEC被害にあった際は、取引先の航空リース会社を模したメールを送り、これを信じた経理担当者が送金してしまったことにより、3億8000万円の被害が生じています。また、2019年8月には、トヨタ紡績のヨーロッパ子会社で3700万ドル (40億3000万円) の送金詐欺が生じています。これは、トヨタ紡績本体にではなく、取引金融機関の従業員に対して、送金口座情報の変更を依頼して、不正送金させたというケースとなります。

トレンドマイクロの報告によると、2018年下半期と2019年上半期を比較すると、BECを試みようとした件数は52%も増加していると報告されています。

 

 

BECの手法について理解し対策する

bec_3.jpg

次にBECの手法について理解しましょう。別なトレンドマイクロの報告によると、BECは5つのタイプに分かれます。

  • 取引先を模した不正請求メール
  • CEOを模した不正送金指示
  • メールアカウントハッキングによる取引先への不正請求メール
  • 弁護士を模した不正請求メール
  • 個人情報をや納税申告書の盗難(不正請求・不正送金のための情報収集)

こうしたBECの手口を防ぐために行うべき対策について、情報セキュリティサイトのSecuirity Boulevardでは、以下のポイントで解説しています。

  • 攻撃者が企業のメールアカウントにアクセスしたことを見破る
    • 直属の上司ではなく、役員などの上級管理者からの送金依頼
    • メール文面のスペルミスと文法エラー
    • 支払いポリシーを変更するリクエスト
  • プロセスの確認
    • メールアカウントに2要素認証 (2FA) の導入
    • 送金承認が行える従業員を最小限にする
    • 送金リクエストを1件ごとに確認する
    • 支払いプロセスの変更リクエストは電話でのみ対応する
  • テクノロジー
    • SPF (Sender Policy Framework、ドメイン詐称防止) の利用
    • DKIM (Domainkeys Identified Mail、電子署名) の利用
    • DMARC (Domain-based Message Authentication, Reporting & Conformance、SPFとDKIMを併用し認証失敗情報を取得)

 

 

トラスト・ログインがBEC対策に役立つ点を理解する

bec_4.jpg

上記の対策のなかで、トラスト・ログインが役に立てる部分は、「メールアカウントの認証強化」です。例えば、「メールアカウントにアクセスする際のパスワード」ですが、ユーザー任せにすると脆弱で使い回されたパスワードが設定される恐れがあります。これを防ぐため、トラスト・ログインを利用して「パスワードは全て管理者がトラスト・ログイン上で設定」「ユーザーがメールを見る際は必ずトラスト・ログインを経由する」とすれば、メールアカウントがハッキングされる危険は減少します。

BECは相当な労力をかけて行われる詐欺で、一攫千金を狙う攻撃者があらゆる情報を集めて行われる詐欺です。経営者や経理担当者のプライベートのメールアカウントと、会社のメールアカウントで同じパスワードを使い回しており、それが理由でBECが成功した、とならないように、ぜひトラスト・ログインをお役立てください。