「企業による検知は非常に困難」 国内で複雑化するビジネスメール詐欺、その実態は：明らかに企業の内部事情を知る犯行も（1/2 ページ）

JPCERTコーディネーションセンター（JPCERT/CC）は国内のビジネスメール詐欺（BEC）に関する初の実態調査報告書をまとめた。億単位の被害を出したこともあるBECだが、今さらに複雑化するその実態と、企業に要求される対策とは。

[高橋睦美，ITmedia]

　「来年度から取引銀行が変わります。以降の振込はこちらの新しい口座にお願いします」――実在する取引先の名前をかたってこんな詐欺メールを送って経理担当者をだまし、多額の金銭を盗み取る手口が「ビジネスメール詐欺」（BEC：Business E-mail Compromise）だ。

　国外はもちろん、国内でも複数の被害が報じられているBECに関して、JPCERTコーディネーションセンター（JPCERT/CC）が初の実態調査報告書をまとめた。そして、アカウント詐取との関連や、自社がだまされるだけでなく、自社の名前を詐欺に使われる可能性も視野に入れ「より幅広い観点からBEC対策を検討すべき」と呼びかけた。

止まらないBEC――不正請求額、国内で合計約24億円に

　電子メールは昔から、さまざまな詐欺行為に使われてきた。実在するサービス名をかたって受信者を偽のサイトに誘導する「フィッシング詐欺」やBECもその一部だ。BECは、実在する取引先や社内の経営層の名前をかたって「秘密の取引に必要だから」ともっともらしい理由を付けたメールを送り、個人の詐欺被害とは桁違いの額を振り込ませようとするところに特徴がある。

　米国連邦捜査局（FBI）のインターネット犯罪苦情センターに寄せられた情報によると、2016年6月から2019年7月まで米国で発生したBECの被害件数は16万6349件、被害額は約262億ドルと、無視できない額に上っている。

　一方、日本では2017年末に大手航空会社が億単位の被害に遭った事件が大きく報じられた。その後も、情報処理推進機構（IPA）や警察庁、セキュリティベンダーなどが注意を呼びかけている。

　JPCERT/CCは、幾つかBEC関連の相談を受けたことをきっかけに、その実態を明らかにしようと2019年7〜11月にかけて調査を実施。日本貿易会ISAC会員企業や石油化学工業協会などの協力を得て12社にアンケートを実施した他、6社に対面でヒアリングし、117事案について調査した。

　この結果、BECによる不正な請求額の合計は約24億円に上ることが分かった。ただし大半の回答者は、メールのやりとりの中で不審な点に気付き、未然に被害を回避できたという。また、いったん振り込んでしまった場合でも、金融機関と連携して振込先口座を凍結したり、保険を活用したりといった対策によって、ある程度の金額を取り戻せたケースもあったという。

JPCERT/CCが2019年7〜11月にかけて実施したBECに関する調査結果の概要（出典：JPCERT/CC）

明らかに内部事情を知る人物が関与する事例も

　古くからの詐欺としては、英語で送金の手伝いを依頼してくる「ナイジェリア詐欺」が有名だ。BECもやはり英語でのメールが主流だった。だが今回のJPCERT/CCの調査からは、多様化の傾向が見られたという。JPCERT/CCの森淳太朗氏（早期警戒グループ）は「英語のメールも多いが、日本語を含む他の言語が使われているケースもあった。また、必ずしも1つの国だけで完結するわけではなく、複数の国を巻き込んだケースが多いことが分かった」という。

　JPCERT/CCでは調査結果を、IPAがBECに関するレポートの中でまとめた「ビジネスメール詐欺の5つのタイプ」に基づいて分類した。この結果、最も多かったのは「タイプ1：取引先との請求書の偽造」で、次に「タイプ2：経営者等へのなりすまし」が多かった。「中には各タイプを組み合わせ、役員メールのアカウント情報窃取を試みるものもあった」と森氏は語る。

　手法としては、請求書を偽造する手口が最も多かった。ただ「ファイルのプロパティを見ると、関係国とタイムゾーンが異なるものが見つかった。こういった点がBECを見抜くポイントになるのではないか」と森氏は話す。

　一方で、社内の関係者しか知らないはずの、内規に定められている決済金額の上限に近い額を繰り返し要求する手口も見られた。

国内で確認されたBECの手口には、明らかに内部事情を知らなければ成立しないものも確認されたという（出典：JPCERT/CC）

　「関係者しか知り得ないような情報を悪用しているケースは、内部に精通している人物が関与している疑いが高い」（森氏）

事例記事ランキング

• 本日
• 週間
• 月間

1. サンリオの「キティちゃん」を支えるデータベースのチカラ
2. 1年半でシステム刷新のクックパッド、怒濤の「5並列プロジェクト」に見る“世界で勝つためのシステム設計”
3. みずほと日本IBM、Watsonを使ったリスク管理を検証　テロ資金対策に
4. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
5. 「トラフィックの8割以上がボットだった」――JAL、「Bot Manager」で航空券予約サイトへの迷惑ボットを撲滅

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. 1年半でシステム刷新のクックパッド、怒濤の「5並列プロジェクト」に見る“世界で勝つためのシステム設計”
3. 旅館業界では“あり得ない”週休3日　それでも「陣屋」の売り上げが伸び続けるワケ
4. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル
5. サンリオの「キティちゃん」を支えるデータベースのチカラ

1. 借金10億円、倒産まであと半年――創業100年の老舗旅館「陣屋」をたった3年でV字回復させた方法
2. 日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
3. サンリオの「キティちゃん」を支えるデータベースのチカラ
4. これを旅館と呼んでいいのか!?　老舗旅館「陣屋」が切り開く新たなビジネスモデル
5. 元組み込みエンジニアの農家が挑む「きゅうり選別AI」　試作機3台、2年間の軌跡