今月、独立行政法人情報処理推進機構（IPA）が、ビジネスメール詐欺（Business E-mail Compromise：BEC）対策の特設ページを同機構のウェブサイトで公開しました。

ウイルス感染の原因として多く報告されているビジネスメール詐欺

その手口や対策、関連資料などをまとめておりますので、ご紹介したいと思います。

 

ビジネスメール詐欺（Business E-mail Compromise：BEC）とは、巧妙な騙しの手口を駆使して偽の電子メールを組織・企業に送り付け、従業員を騙して攻撃者の用意した口座へ送金させる詐欺の手口です。

米国連邦捜査局（Federal Bureau of Investigation：FBI）や米国インターネット犯罪苦情センター（Internet Crime Complaint Center：IC3）が公開している情報等によると、年々その被害は増加傾向にあり、ビジネスメール詐欺の脅威がより深刻なものになっています。

 

ビジネスメール詐欺は騙す相手によって次の2つのパターンに分類できます。

IC3やトレンドマイクロ社では、詐欺行為の準備等といった手口も含め5つのパターンで分類していますが、IPAではこの2つのタイプの攻撃事例を多く確認しているそうです。

 

◆取引先との請求書の偽装

取引先等と請求に係るやりとりをメールなどで行っている際に、攻撃者が取引先になりすまして、攻撃者の用意した口座に差し替えた偽の請求書等を送り付け、振り込みをさせるというものです。

攻撃者は取引に係るメールのやりとりをなんらかの方法によって事前に盗み見て、取引や請求に関する情報や、関係している従業員のメールアドレスや氏名等を入手していることがあります。

 

攻撃者は最終的に支払側の企業の担当者を騙し、攻撃者の口座へ送金をさせようとします。IPAでは、海外の企業と取引を行っている企業で多く確認がされているとしています。

この手口は、「偽の請求書詐欺」や、「サプライヤー詐欺」、「請求書偽装の手口」などと呼ばれています。

 

IPAで確認できている攻撃事例は下記のようなものになります。

・自組織の担当者を騙る攻撃者から、海外取引先担当者へ、偽の口座に送金先の変更を依頼する偽のメールが送られた。

・海外取引先担当者を騙る攻撃者から、自組織の担当者へ、請求書の変更と称して、偽口座に改ざんされた請求書が添付された偽のメールが送られた。

・海外子会社の担当者を騙る攻撃者から、自組織の担当者へ、偽の口座に送金先の変更を依頼する偽のメールが送られた。

 

◆経営者等へのなりすまし

攻撃者が企業の経営者や企業幹部（役員）などになりすまし、企業の従業員に攻撃者の用意した口座へ振り込みをさせるというものです。このとき、事前に攻撃者はなんらかの方法によって、企業の役員などのメールアドレスを調べ、より本物らしくなりすましを行う場合もあります。

 

攻撃先としては、企業内の財務・経理担当者といった金銭管理を行う部門が狙われる傾向にあります。「秘密の案件で相談がある」や、「相談したいことがあるので少し時間があるか」といった経営層からの問い合わせを装う手口を多く確認しています。

この手口は、「CEO詐欺」や「企業幹部詐欺」「なりすまし詐欺」などと呼ばれています。

IPAで確認できている攻撃事例が下記のようなものになります。

・自組織の経営層を騙る攻撃者から、自組織の従業員へ偽のメールが送られた。

・親会社の経営層を騙る攻撃者から、子会社の経営層へ偽のメールが送られた。

・親会社の経営者を騙る攻撃者から、海外の関連会社の経営層へ偽のメールが送られた。

・海外関連会社の経営層から、自組織の従業員へ偽のメールが送られた。

・海外関連会社の経営層から、別の海外関連会社の経営層へ偽のメールが送られた。

 

ビジネスメール詐欺は、メールのなりすまし等のサイバー攻撃の手法を用いつつ、巧妙に人を騙す手口です。まずは職員へ、このような詐欺の手口があるということを周知して知ってもらい、その上でビジネスメール詐欺への下記のような対策を実施していただくことが大切です。

普段と異なるメールに注意

・不審なメールは社内で相談・連絡し、情報共有する

・電信送金に関する社内規程の整備（チェック体制の整備）

・急な振込先や決済手段の変更等が発生した場合、取引先へメール以外の方法で確認する

ウイルス・不正アクセス対策

・セキュリティソフトを導入し、最新の状態にする

・メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しをしない

・メールシステムでの多要素認証、アクセス制限の導入を検討する

◆もしビジネスメール詐欺被害に遭ってしまったら

ビジネスメール詐欺の被害が判明した場合、次のような対応を行うことが有効です。

送金のキャンセルや組み戻し手続き

もし、攻撃者から送られてきた偽の口座へ送金を行ってしまった場合、送金に利用した銀行へ、早期に送金のキャンセルや組み戻しの手続きを依頼しましょう。

また、海外拠点で振り込みをしてしまった場合や、振込先の口座が海外であった場合、当該地域の現地警察へ連絡し、偽の口座の凍結や資金の回収について相談することが必要です。偽口座が米国にある場合、FBIやIC3へ通報することも有効です。

なお、これまでIPAで確認している事例では、すでに攻撃者によって送金した資金が引き出された後で、回収できなかったという事例も多数確認しています。このような手続きを行ったからといって必ずしも資金が回復できるとは限りませんが、送金後すぐに銀行に連絡することは有効な手段です。

状況把握、時系列記録、証跡の収集

警察や銀行へ連絡を行うにあたり、調査のために資料としてログを含め証跡の提示を求められる可能性があります。このため、可能な限り攻撃者から送られてきたメール等は確保し、状況の把握やどのような経緯でメールが送られてきたか等をまとめておくことを勧めます。

また、取引先に対して偽のメールが送られてくるといった場合もあるため、取引先にも偽のメールの確保や状況調査等を依頼する必要があります。このとき、攻撃者にメールが盗み見られている可能性もあり、メール以外の方法で取引先に連絡を取る必要があるため、事前に緊急時の連絡経路は決めておくことを勧めます。

なお、内部犯行による可能性があることも考えられるため、調査の際には最小限の関係者で調査を行う等注意が必要です。

暫定対応と原因調査

ビジネスメール詐欺が判明した際には関係者全員が次の対応を行う必要があります。このとき、自組織だけでなく取引先の担当者へも連絡し、対応を依頼するべきでしょう。

・関係者のPCに対するウイルスチェックの実施

・情報を窃取するウイルスへの感染がないかをチェック

関係者のメールアカウントのパスワード変更

関係者全員のメールアカウントのパスワードを変更するとき、他のサービスで使用していない複雑なパスワードを設定することが重要です。

また、取引先とのメールのやりとりが攻撃者に盗み見られている可能性があるため、次のような原因の調査を行うことが望ましいと考えます（自組織で行うことが難しければ、セキュリティ専門会社等へ調査を依頼することも有効です）。なお、原因調査は自組織だけではなく、取引先でも調査をするよう依頼する必要があります。

関係者のメールアカウントへの不正アクセス痕跡の調査

関係者のメールアカウントへ不審なアクセス痕跡がなかったか、ログの調査等を実施する。特に海外からの不審なアクセスがなかったかをチェックする。

関係者のメールアカウントに不審な設定が行われていないか調査

メールアカウントに対し、外部へのメールの転送設定や、普段見ないフォルダへの振り分け設定等がないか調査をする。

関係者へのヒアリング

1年以内程度を目安に、不審なメールを開いていないか、フィッシングサイトのようなサイトでメールアドレスやパスワードを入力した覚えはないか、メールアカウントのパスワードは他のサービス等と使い回しをしていないか等をヒアリングする。

なお、これらの調査を行ったとしても必ずしも原因が特定できるわけではありません。取引先側に問題がありそうだと推測できても、ビジネス上の関係性から、原因調査を依頼できなかったという相談も多くあります。可能であれば、平時から、あるいはビジネスを開始する前に、このようなセキュリティインシデントが発生した場合の対応方針について合意しておくといった対策も検討してください。

社内外へ向けた注意喚起

ビジネスメール詐欺は自組織や取引先へなりすまし、偽のメールを送ってきます。特に自組織を詐称された場合、今後も偽のメールが送られることもあるため社内外へ注意喚起は必ず行っておきましょう

まずはどのような手口があり、どういった対策があるかを事前に知っていただき、対策していただくことを願っております

出典：IPA　ビジネスメール詐欺（BEC）対策特設ページ