偽社長の送金指示メールで大金被害、本物の社長が辞任するケースも

「急に資金が必要だ」といった内容のメールで経理担当者などに入金させる詐欺が横行し、毎日400社近くが狙われているという。

[ITmedia]

　CEOや社長などの経営幹部になりすました送金依頼メールが企業の経理や財務担当者に送り付けられ、大金をだまし取られる詐欺犯罪が世界的に横行しているという。シマンテックが同社のメールセキュリティサービスでの実態を調査し、その状況や対策などを解説した。

　この犯罪は「Business E-mail Compromise」（BEC）と呼ばれ、「CEO詐欺」や「ビジネスメール詐欺」などとも称される。米FBIによれば、少なくとも過去3年間に世界で2万2000社以上が被害に遭い、被害総額は30億ドル（約3200億円）に上るという。

　報道によれば、5月には5000万ドルをだまし取られたオーストリアの航空部品メーカーではCEOと最高財務責任者が引責辞任に追い込まれた。2月には、米Snapchatで似た手口によるメールから従業員の個人情報が大量流出する被害も起きている（関連記事）。

　シマンテックによると、BECの標的になる企業の38％が中小を占め、1日あたり約400社が詐欺メールを受信していた。狙われた企業では2人以上が詐欺メールを受信しており、その多くが上級の財務担当者だという。

BEC詐欺の標的にされた企業の内訳（出典：シマンテック）

　多くのメールは、平日の午前7時から昼休みを挟んで午後6時までの間に送信され、一般的な業務時間や銀行で決済可能な時間に集中しているのも特徴的だとしている。メールの件名には、「Request」（要請）「Payment」（支払い）「Urgent（緊急）」などシンプルなものが使われ、セキュリティシステムによる検知を逃れるように工夫されている。

BEC詐欺に使われているメールの件名（同）

　シマンテックは、BECが以前に流行した「ナイジェリア詐欺」（419詐欺）の発展形と分析。詐欺メールの46％にナイジェリアのIPアドレスが使われていた。また、詐欺メールの12％は同一の犯罪組織の関与が疑われ、この組織は147のメールアカウントを使って2700社以上に詐欺メールを送り付けたという。

　BEC対策では従業員教育が最も効果的であるとし、同社では以下の方法をアドバイスしている。

• 異例あるいは通常の手順を踏まない対応を依頼するメールは疑うこと
• 疑わしいメールにはいっさい返信せず、会社のアドレス帳で送信者のメールアドレスを確認し、メールについて問い合わせる
• 電信送金の手続きに2段階認証を導入する