え?メール1通で会社が破綻!?BEC(ビジネスメール詐欺)の恐ろしい真実
たった1通のメールで会社が破綻する。そんな事、本当にあるの?と思われるかもしれませんが
最近、世界的大企業でもその危機に陥る寸前に至る時点にまで多々発生しています。
今回は、その代表的事例であるBEC(ビジネスメール詐欺)について語りたいと思います。
~今回ご案内する内容~
……………………………………………………………………………………………………………
【Topic1】BECとは?その巧妙な手口に迫る
……………………………………………………………………………………………………………
【Topic2】なぜBECに騙されてしまうのか?心理的な側面に迫る
……………………………………………………………………………………………………………
【Topic3】BECから身を守るための具体的な対策
……………………………………………………………………………………………………………
【Topic4】BECに遭ってしまったときの対処法
……………………………………………………………………………………………………………
【Topic1】BECとは?その巧妙な手口に迫る
BECとは何か?
BECとは、Business Email Compromiseの略で、そのまま「ビジネスメール詐欺」とも言われます。
企業の経営者や従業員になりすまし、巧妙に仕組まれたメールを送信し、金銭を騙し取る詐欺の手口です。
近年、BECは巧妙化の一途を辿っており、多くの企業が被害に遭っています。その巧妙さは、まるで映画のようなストーリーを思わせるほど。
犯人は、ターゲットとなる企業の情報を綿密に調査し、まるでその企業の一員であるかのように振る舞い、巧みに信頼関係を築いていきます。
なぜBECが危険なのか?
BEC(ビジネスメール詐欺)が特に危険なのは、以下の理由が考えられます。
- 高額な被害
- 一度の被害額が数千万円、場合によっては数億円以上に及ぶこともあります。
- 2021年の全世界の被害総額は約1,500億ドル(約21兆円)とも言われています。
- 企業の信用失墜
- 大企業であっても被害に遭う可能性があり、企業の信用を失墜させ、ブランドイメージを大きく損なう可能性があります。
- 業務の停滞
- 資金が不正に流出することで、企業の業務が停滞し、経営を圧迫する可能性があります。
- 再発のリスク
- 一度被害に遭うと、再び同じような手口で騙される可能性が高まります。
BEC事例
BECの手口は多種多様ですが、代表的なものとして以下のような事例が挙げられます。
- CEO詐欺
- 企業のCEOや役員等になりすまし、緊急の支払いが必要だと告げ、指定された口座に送金させる。
- ベンダー詐欺
- 取引先のベンダーになりすまし、口座情報を変更し、支払いを誘導する。
- 納品書詐欺
- 虚偽の納品書を送りつけ、支払いを要求する。
これらの事例からもわかるように、BECは、企業の業務フローや取引先との関係性などを熟知しているかのような巧妙な手口で実行されます。
BECが巧妙化する背景
BECが近年、増加の一途を辿っている背景には、以下の要因が考えられます。
- テレワークの普及
- 新型コロナウイルス感染症の影響により、テレワークが普及したことで、従業員が社外から企業のシステムにアクセスする機会が増え、セキュリティリスクが高まりました。
- フィッシング攻撃の発展
- フィッシング攻撃の手法が高度化し、より巧妙なメールを作成できるようになったこと。
- サイバー犯罪の国際化
- サイバー犯罪が国際化し、犯行グループが組織化され、より大規模な攻撃を行うことができるようになったこと。
【Topic2】なぜBECに騙されてしまうのか?心理的な側面に迫る
人間の心理を巧みに利用する手口
BEC詐欺犯は、巧妙に人間の心理を突くことで、被害者を騙しにかかります。主な心理的な側面としては、以下の点が挙げられます。
- 緊急性と恐怖心
- 「今すぐ対応しないと大きな損害が出る」といった緊急性を強調し、被害者を焦らせ、冷静な判断を妨げます。
- 支払期限を迫ったり、法的措置を匂わせたりすることで、恐怖心を煽ります。
- 権威への信頼
- 上司や取引先などの権威ある人物になりすまし、指示に従うように仕向けます。
- 組織内のヒエラルキーを利用し、下位の従業員が上司の指示に逆らえないように仕向けます。
- 共感と信頼
- 個人的な悩みや事情を打ち明け、共感を集め、信頼関係を築きます。
- 親近感を抱かせ、警戒心を解かせます。
- 社会的な証明
- 多くの人が既に支払いを済ませているかのように見せかけ、社会的な証明として利用します。
- 他の従業員も支払いを済ませていると誤解させ、抵抗感をなくさせます。
組織の脆弱性
BECが成功しやすい背景には、組織の様々な脆弱性が存在します。
- 内部統制の不備
- 支払承認プロセスが複雑でなく、誰でも簡単に不正な支払いをできてしまうような場合、BECの被害に遭いやすくなります。
- 従業員の意識不足
- BECの手口や危険性についての認識が低い従業員は、不審なメールに気づかず、騙されてしまう可能性があります。
- 情報共有の不足
- 部署間の情報共有が不足している場合、不正な支払いを早期に発見できないことがあります。
- システムの脆弱性
- メールフィルタリングや多要素認証などのセキュリティ対策が不十分な場合、BECの攻撃を受けやすくなります。
なぜ組織がBECの標的になりやすいのか
組織がBECの標的になりやすいのは、以下の理由が考えられます。
- 利益追求
- 企業は利益を追求するため、取引を円滑に進めたいという心理が働きます。そのため、不審な点があっても、それを無視してしまうことがあります。
- 時間的な制約
- 企業は、様々な業務を抱えており、常に時間的な制約があります。そのため、メールの内容を十分に確認する時間がないまま、指示に従ってしまうことがあります。
- 人的ミス
- 人間は誰でもミスをするものです。従業員が不注意なミスを犯すことで、BECの被害に繋がる可能性があります。
【Topic3】BECから身を守るための具体的な対策
メール検証方法
BECは、巧妙に仕組まれたメールが最大の武器です。そのため、メールの検証を徹底することが、BEC対策の第一歩となります。
※スパムメール対策のシステムを導入しBECを含むスパムメールを大幅に減らす事が前提ですがどのようなシステムも100%防御する事は出来ません。
よって届いたメールについても必ず検証が必要です。
- 送信元のメールアドレス確認
- ドメイン名のスペルミスや、無料のメールサービスのアドレスなど、不自然な点がないか確認しましょう。
- 組織内のメールアドレス一覧と照らし合わせ、正規の送信元であることを確認しましょう。
- 文面と表現の確認
- 丁寧な表現が一般的ですが、突然の要求や、感情的な表現が含まれている場合は注意が必要です。
- リンクや添付ファイルの確認
- 不審なリンクや添付ファイルは絶対にクリックしたり、開いたりしないようにしましょう。
- リンク先のURLを確認し、正規のウェブサイトであることを確認しましょう。
- 特に普段利用しないサービスやURLだった場合は注意が必要です。
- 署名と文体の確認
- 通常のメールとの文体や署名の違いがないか確認しましょう。
- 普段使わない言葉遣いや、誤字脱字が多い場合は注意が必要です。
社内教育の重要性
BEC対策において、従業員への教育は非常に重要です。従業員がBECの手口を理解し、不審なメールに気づけるようにすることが、被害防止に繋がります。
- 定期的なセキュリティ意識向上研修の実施
- BECの手口や事例、最新の脅威について、定期的な教育を行い、従業員のセキュリティ意識を高めましょう。
- シミュレーション演習の実施
- 実際にBECのメールを受け取ったような状況を想定したシミュレーション演習を行い、従業員の対応力向上を図りましょう。
- 通報体制の整備
- 不審なメールを発見した場合、すぐに報告できるような通報体制を整備しましょう。
- 多言語対応の教育
- 外国人従業員がいる場合は、多言語で教育を行う必要があります。
システム的な対策
システムの強化は、BEC対策において不可欠です。以下の点を特に強化・確認を行ってください。
- メールフィルタリングの導入
- 不審なメールを自動的に検出し、隔離するメールフィルタリングシステムを導入しましょう。
- 多要素認証の導入
- パスワードに加えて、別の認証要素(例えば、ワンタイムパスワード、生体認証など)を導入し、不正アクセスを防ぎましょう。
- アクセス権限の管理
- 従業員に必要な最小限のアクセス権限のみを付与し、権限の乱用を防ぎましょう。
- バックアップ体制の構築
- 万が一、BECの被害に遭ってしまった場合でも、迅速に復旧できるよう、定期的にバックアップを取っておきましょう。
- セキュリティソフトウェアの導入
- ウイルス対策ソフトやファイアウォールなど、セキュリティソフトウェアを導入し、システムを保護しましょう。
その他の対策
- 取引先との連携
- 取引先と連携し、不正な支払いを防ぐための仕組みを構築しましょう。
- 例えば、支払いの前に必ず電話で確認するなどのルールを設けることが考えられます。
- 緊急時の連絡体制の整備
- 緊急事態が発生した場合、迅速に対応できるよう、連絡体制を整備しましょう。
- 定期的なセキュリティ監査
- 定期的にセキュリティ監査を実施し、システムの脆弱性を洗い出し、改善しましょう。
- サイバー保険の加入
- 万が一あってしまった際の損害賠償の補償や事故対応費用の補償がまかなえます。
また、保険のサービスとしてリスク診断や、事故発生時の支援サービスが充実している場合もあります。
- 万が一あってしまった際の損害賠償の補償や事故対応費用の補償がまかなえます。
【Topic4】BECに遭ってしまったときの対処法
早期の発見・対策に関する重要性
BECに気づいた場合、一刻も早い対応が被害拡大を防ぎます。早期発見のためには、以下の点に注意しましょう。
- 定期的な口座残高の確認
- 普段から定期的に口座残高を確認し、不正な引き出しがないか確認しましょう。
- 取引履歴の確認
- 取引履歴を詳細に確認し、覚えのない取引がないか確認しましょう。
- 従業員への対応
- 従業員に、不審なメールや電話があった場合は、すぐに報告するよう徹底しましょう。
また、被害にあった際には以下の点も早期対策を行いましょう。
- PCに対するウイルスチェックの実施
- ウイルスへの感染がないかをチェックしましょう。
- アカウントの凍結もしくはパスワード変更
- メールや各種サービスのパスワードは変更もしくは凍結を行い被害が拡大しないようにしましょう。
- ログの保管
- PCやサーバー等のログの保管も迅速に行いましょう。種類によってはすぐに消える場合もあります。
- 設定の確認
- 不正な設定等がないかの確認をPC等行いましょう。再発する可能性があります。
- 早急なヒアリングの実施
- 1年以内をメドに違和感のあるメールの開封やサイトへのアクセスがなかった等のヒアリングを実施しましょう。
警察への通報
BECに遭った場合は、すぐに警察に被害届を提出しましょう。警察への通報は、以下のメリットがあります。
- 証拠の保全
- 警察が証拠を保全することで、後々、損害賠償請求などの際に有利に働くことがあります。
- 犯人逮捕の可能性
- 警察が捜査を進めることで、犯人逮捕の可能性が高まります。
- 他の被害者を防ぐ
- 警察が情報を共有することで、他の被害者を防ぐことに繋がります。
専門家への相談
弁護士や税理士、セキュリティコンサルトなど、専門家への相談も重要です。
- 弁護士
- 損害賠償請求や、刑事手続きに関するアドバイスを受けることができます。
- 税理士
- 税務上の問題に関するアドバイスを受けることができます。
- セキュリティコンサルト
- 再発防止に向けたシステムの脆弱性診断や、今後のセキュリティ対策に関するアドバイスを受けることができます。
BECに遭ってしまった場合の具体的な対応手順
上記の点を踏めつつルール化やマニュアル化しておきましょう。
- 冷静さを保つ
- 慌てず、冷静に状況を把握しましょう。
- 社内への情報通知
- 各種担当部署や上長などに報告し指示を仰ぎ被害拡大を防ぎましょう。
- 証拠を保全する
- 不審なメール、取引履歴、振込明細書など、証拠となるものは全て保管しましょう。
- サーバーやPCについては、そのログについても保管しましょう。
- PC等への対策
- PC等にウイルスへの感染がないかをチェックし場合によっては停止しましょう。
- 関連する各種アカウント(メールや各種サービス)の凍結やパスワード変更を行いましょう。
- 不審な設定がないかのチェックやアクセス履歴が無いかをチェックしましょう。
- 金融機関に連絡する
- 不正な取引が行われた金融機関に連絡し、被害額の凍結や、新たなカードの発行を依頼しましょう。
- 警察に相談する
- 最寄りの警察署に被害届を提出しましょう。
- 専門家に相談する
- 必要に応じて、弁護士や税理士、セキュリティ専門家などに相談しましょう。
まとめ
今回はいかがだったでしょうか。
BECに遭ってしまった場合、迅速かつ適切な対応が重要です。早期発見、警察への通報、専門家への相談など、様々な対策を講じることで、被害を最小限に抑えることができます。
BECは、巧妙な手口で実行されるため、被害に遭わないためには、日頃からセキュリティ意識を高め、適切な対策を講じる必要があります。
※標的型攻撃メールを対策可能な弊社サービスもございます!
詳しくは下記連絡先までお問い合わせ下さい。
■@Securemail Plus TAP (ゲートウェイ型の標的型攻撃メール保護サービス)
https://securemail-plus.com/series/tap/feature/
■連絡先
株式会社ケイティケイソリューションズ
電話番号:052-953-6660
お問合せフォーム:
https://www.ktk-sol.co.jp/contact/contact_before
参考サイト
■IPA ビジネスメール詐欺(BEC)対策(事例等もあります)
https://www.ipa.go.jp/security/bec/index.html
■警察庁 ビジネスメール詐欺に注意