社長からのメールに要注意？ 巧妙な送金詐欺の被害激増――米FBI

犯人は相当の労力をつぎ込んで標的とする会社のことを調べ、最高経営責任者（CEO）や取引先になりすます。社内の資金管理担当者を見つけ出し、もっともらしい理由で現金を送金させるという。

[鈴木聖子，ITmedia]

　勤務先の会社の経営者からのメールだと思って指示に従い、取引先と信じた相手に多額を送金してしまった――。そんな被害が激増しているとして、米連邦捜査局（FBI）が注意を呼び掛けた。一見「不審なメール」には見えないメールにも危険が潜んでいるかもしれない現状を認識する必要がありそうだ。

米FBIが経営者や取引先などからのメールに警戒するよう呼び掛けた

　FBIによると、犯人は相当の労力をつぎ込んで標的とする会社のことを調べ、電子メールを偽装したり、巧妙なソーシャルエンジニアリングの手口でだましたりして、その会社の最高経営責任者（CEO）や顧問弁護士、信頼できる取引先などになりすます。社内で資金を管理している担当者を見付け出し、その会社に特有の文言を使って、もっともらしい理由で現金を送金させるという。

　被害者は大企業からハイテク企業、中小企業、非営利組織まで多岐にわたる。多くの場合、外国のサプライヤーと取引がある組織や、定期的に送金している組織が狙われる。

　被害は米国だけでなく、世界の少なくとも79カ国で発生。捜査当局に通報があった被害だけでも2013年10月〜2016年2月までの間に1万7642件に上り、被害総額は23億ドルを超す。特に2015年1月以降、FBIに通報があった被害者数と損害額は270％増加しているという。

　FBIでは企業に対し、メールのみの送金依頼や送金を急がせようとするメールには注意を払い、電話で相手に確認するよう勧告。メールアドレスは本物かどうかをよく調べ、マルチレベルの認証を導入することが望ましいとしている。

　セキュリティ情報サイトの米Krebs on Securityによると、CEOをかたる詐欺メールでは大手玩具メーカーのMattelが2015年に300万ドルの損害を出し、IT企業のUbiquitiは4670万ドル、商品取引会社のScoularは1720万ドルの被害に遭ったことが分かっている。

　発端となる詐欺メールでは、幹部を狙ったフィッシングメールでアカウントに不正侵入する手口のほか、会社のドメインによく似たドメイン（例えば「example.com」というドメインに見せかけた「examp1e.com」のドメイン）を使う手口などが利用されているという。

なりすましメールのイメージ（IPA資料より）