Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

サイバー攻撃の手法は日々進化しており、昨今では“人の脆弱性”を狙ったソーシャルエンジニアリングの手法を組み合わせた攻撃が使われるようになってきました。その代表例といえるのが「BEC:ビジネスメール詐欺」です。この攻撃ではあらかじめメールシステムに侵入し、社内のメールのやり取りを把握した上で、タイミングを見計らって“なりすましメール”を送信し、金銭や情報を奪います。今回は、BECのしくみと対策についてご紹介します。

莫大な被害を生むビジネスメール詐欺(BEC)

取引先や自社の経営層などになりすまして送金指示のメールを送り、金銭を詐取する手法を「ビジネスメール詐欺:Business Email Compromise(BEC)」と呼びます。ビジネスにおけるコミュニケーションの主流が、電話からメールに変わったことを悪用した手法といえます。

海外では数年前からBECの被害が増大しており、FBI(米連邦捜査局)が発表したレポートによると、2013年10月から2016年5月までの2年半ほどの間に1万5千件以上、被害額は10億5千万ドルに上るとされています。さらにその後の発表により、2018年5月までの累計被害は、米国で7万9千件弱、被害額は125億4千万ドル近くまで拡大しています。まさに桁違いの被害額といえましょう。そして2017年からは、日本でも同様の手口による被害が確認されています。

BECの手法は、取引先などになりすまして偽の請求書を送るものと、社内の経営層などの内部になりすまして送金指示メールを送るものの大きく2つに分けることができます。IPA(独立行政法人情報処理推進機構)ではこれをさらに細分化し、「取引先との請求書の偽装」「経営者等へのなりすまし」「窃取メールアカウントの悪用」「社外の権威ある第三者へのなりすまし」「詐欺の準備行為と思われる情報の詐取」の5つのタイプに分類しています。日本でも徐々に被害が増えており、2018年夏には日本語によるBECも確認されました。

IPAのほかにも、警察庁や警視庁、一般社団法人 全国銀行協会などが注意喚起を行っていますが、かなりの数の組織がBECメールを受け取っている可能性があり、攻撃に気づいていないケースも多いと思われます。ただし最近では、BECにより多額の被害を受けた事例がニュースなどで広く取り上げられたこともあり、後で「実は被害を受けていた」と気づくことも増えているようです。

この記事のキーワード

関連サービス