ビジネスメール詐欺（BEC）の手法から対策まで徹底解説

ビジネスメール詐欺（BEC）とは何？

ビジネスメール詐欺とは、取引先や社内の経営陣・上司などになりすましたり、メールアカウントを乗っ取り、特定の企業や個人にメールを送って情報やお金を盗み取る詐欺行為です。BEC（Business Email Compromise）と略されることもあります。

2015年に米連邦捜査局（FBI）がビジネスメール詐欺に関する情報を公開したために、広く知られるようになりました。

ビジネスメール詐欺（BEC）による被害

米国インターネット犯罪苦情センターによると、ビジネスメール詐欺による被害件数や金額は以下のようになっています。

• 2013年10月〜2016年5月まで……被害件数：22,143件、被害額：約31億米ドル
• 2016年6月〜2019年7月まで……被害件数：166,394件、被害額：約262億米ドル

被害は増加しており、日本でも独立行政法人情報処理推進機構（IPA）や警察庁が情報の公開とともに注意を呼びかけています。

よくあるビジネスメール詐欺（BEC）の手法

ビジネスメール詐欺の手法は、主にメールアドレスの悪用やなりすましです。具体的な手口を紹介します。

メールアドレスの悪用

メールアドレスを悪用する場合には2つの手口があります。

• メールアカウントを乗っ取る
• 似たメールアドレスを取得

本物のメールアドレスを攻撃者が何らかの方法で乗っ取り、そのアカウントを使って従業員や取引先の担当者に連絡し、偽の口座を記載した請求書などを送る方法があります。今まで連絡を取り合っていたメールアドレスなので、攻撃されても気づくことが難しいです。

また、一見しただけでは偽物だとはわかりにくいメールアドレスを攻撃者が取得し、そのメールアドレスで偽の請求書などを送付する方法もあります。例えば、正しいメールアドレスが「aiueo」という文字列なのに対し、偽のメールアドレスでは「aieuo」という文字列になっているような場合です。

取引先などのメールアドレスをすべてアドレス帳に登録しているのであれば、未登録のメールアドレスからのメールは怪しいと気づくことができます。しかし、取引先が多い場合などはすべてのメールアドレスをチェックするのは困難です。

なりすまし

実際に存在する人の名前を語り、本物とは違うメールアドレスから連絡する場合もあります。特に攻撃者が経営者や弁護士など強い立場の名前を語った場合は、ビジネスメール詐欺だと気づかずにメールの指示に従ってしまうことが考えられます。

ビジネスメール詐欺（BEC）の対策方法

ビジネスメール詐欺にあわないようにするために、以下のような方法で対策をしておきましょう。

基本的な対策

インターネットにおける基本的なセキュリティ対策をします。具体的には以下のようなことです。

• ウイルス対策ソフトやOSを最新の状態に保つ
• 添付ファイルやリンク先を不用意に開かない
• 脅威や手口を知り組織内外で情報共有する

ビジネスメール詐欺の対策として、メールアドレスや個人情報の漏洩、不正アクセスがされないようにウイルス対策ソフトやOSを最新の状態にしておくことが大切です。

また、メールに添付されたファイルやリンクを不用意に開かないようにして、ウイルス感染しないようにします。

メールの真正性の確認

受け取ったメールが正しいものなのかどうかを確認することは、ビジネスメール詐欺対策になります。以下のようにして真正性を確認します。

• 電話など、メール以外の方法で送信側に連絡
• メールアドレスが正しいか
• 件名や本文が不自然でないか
• 「至急」や「内密に」という言葉がある場合は周囲に確認する

メール以外の方法で送信側に連絡を取り確認をします。メールに記載されている電話番号などは偽装されている可能性があるので、名刺や自分のアドレス帳に記載されている連絡先に確認をすることが大切です。

メールアドレスが正しいか、前述したような似たメールアドレスではないか、細かく確認します。また、普段とは異なる言い回しや表現の誤りがある場合には注意が必要です。企業によってはメールのテンプレートを使用している場合もあります。メールの件名や本文のテンプレートが従来と変わっている場合も確認するとよいでしょう。

至急の対応を求めるメールは、受信者に真偽を確認する時間を与えないためのものです。同様に「内密に」と書いて、周囲に相談しないようにすることもあります。メールが本物なのか、確認する方法をフローにしておくのがおすすめです。

また、メールの真正性が確認しやすいシステムとして電子署名があります。電子署名とは紙の文書のサインや印鑑に当たるものです。電子署名には改ざんの検知機能があります。さらに、信頼のおける第三者機関が発行する証明書を用いて送信者を確認する機能もあります。

メールアカウントの適切な管理

メールが乗っ取られたり、盗み見されたりしないようにするためにメールアカウントを適切に管理することも大切です。

• 複数のサービスでIDやパスワードを使いまわさない
• 推測されにくいパスワードを使う

複数のサービスでIDやパスワードを使いまわした場合、1つでも漏洩してしまうとすべてのアカウント情報が漏洩することになります。推測されにくいパスワードにするには、次のような特徴を避けると良いでしょう。

• 文字数が少ない
• 同じ文字が連続している……例：aaaa
• キーボードのキーを順に入力したもの……例：qwerty、12345
• 名前や誕生日を使用している
• 簡単な単語のみを使用している……例：password
• 過去に流出したことがある

過去に流出したことがあるパスワードは、不正アクセス攻撃者の使うパスワードのリストに登録されている可能性が高いため危険です。

より複雑なパスワードを作るためには、大文字・小文字や数字、記号を組み合わせたり、「cat」を「neko」のように英単語ではなく日本語のローマ字表記を使うのがおすすめです。

また、パスワードだけではアカウントのセキュリティが不十分である場合、多要素認証を使用することでセキュリティの強化ができます。多要素認証とは以下の3つの情報から2つ以上を組み合わせて認証する方法です。

• 知識情報（本人だけが知り得る情報）……パスワード、秘密の質問など
• 所持情報（本人が所持しているものを利用）……モバイル端末、携帯電話、ICカードなど
• 生体情報（本人の身体的な情報）……指紋認証、静脈認証など

多要素認証は不正ログイン防止効果が期待できます。

ガバナンスが機能する業務フローの構築

ガバナンスは「統治や支配、管理」という意味があり、ビジネスにおいては「健全な企業経営を行うための管理体制の構築や企業内部の統治」という意味で使われます。ビジネスメール詐欺においても企業として管理体制を整え、業務フローとして対策を講じることが大切です。

• 振込先や担当者の変更には、取引先への確認や上長承認を受ける
• ウイルス対策や最新のOSへのアップデートなどを会社全体で行う
• 不審なメールを受け取った際は、速やかに情報を共有する
• 添付ファイル付きのメールは受け取らないようにする

業務フローにすることでルールの徹底ができ、対策が全体に周知されます。

メールに依存しない業務フローの構築

メール以外のコミュニケーションツールを使うことで、ビジネスメール詐欺に騙される機会が減ります。コミュニケーションツールにはタスク管理やWeb会議、ファイル共有機能があるツールも多く、業務効率化も期待できます。

ビジネス上のファイル共有はメールよりストレージサービスが安全

メールを使ってビジネス上のファイルを共有している場合、ビジネスメール詐欺にあわないようにするためには前述したような対策が必要となります。これらの手間やリスクを軽減するには、ストレージサービスでのファイル共有が安全です。

NTTコミュニケーションズが提供するBizストレージ ファイルシェアは、法人向けのオンラインストレージサービスです。Webブラウザーだけで2GBまでの大容量ファイルや機密情報をやりとりできます。また、セキュリティ機能も豊富です。一例を紹介します。

• 不正アクセスの検知・遮断
• 2要素認証
• IPアドレスなどによるログイン制限
• ログインパスワードのポリシー、有効期限設定
• アクセスログ

不正アクセスを検知した場合は、通信を遮断し情報を守ります。スマホのアプリかメールによる2要素認証をはじめ、特定のIPアドレスからのみログインを許可するなど、不正なログインを防ぐ機能を標準で提供しているので安心です。さらに、各ユーザーのログインパスワードは、最低文字数や文字種の組み合わせ、有効期限を設定することができ、企業のセキュリティポリシーに沿って高い安全性を保てます。

また、アクセスログを確認できることを周知しておくことで内部関係者による不正の抑止力にもなります。

まとめ

ビジネスメール詐欺とは、メールアカウントを乗っ取ったり、メールの持ち主になりすましてビジネスメールを送り、お金や情報を騙し取る詐欺の方法です。基本的な対策としては、セキュリティシステムやPCのOSを最新にして添付ファイルやリンクのアドレスを不用意に開かないようにします。

その上で従業員はメールの真正性を確認したり、メールアカウントを適切に管理するなど、ビジネスメール詐欺にあわないよう注意を払います。企業側はビジネスメール詐欺で騙されないように業務フローを工夫するのがおすすめです。

NTTコミュニケーションズが提供するBizストレージ ファイルシェアは、法人向けのオンラインストレージサービスです。Webブラウザーだけで利用でき、豊富なセキュリティ機能があります。取引先とのファイル授受は専用のサービスでやりとりすることで、ビジネスメール詐欺にあうリスクを大幅に減らすことが可能です。