ビジネスメール詐欺は国境を越えた 調査から判明した日本企業の課題：セキュリティニュースアラート

日本プルーフポイントはFBIが発表したインターネット犯罪レポート「2023 Internet Crime Report」を解説した。投資詐欺が最大の脅威であり、ビジネスメール詐欺が2番目に大きい被害をもたらしていると報告している。

[後藤大地，有限会社オングス]

　日本プルーフポイントは2024年3月26日、米国連邦調査局（FBI）のインターネット犯罪苦情センター（IC3）が公表した「2023 Internet Crime Report」に基づいて、現在のサイバー犯罪の傾向と日本での状況について解説した。

投資詐欺やBECが大流行　日本企業が抱える課題とは？

　調査から、投資詐欺やビジネスメール詐欺（BEC）の被害額が増加している他、ファーミングや技術サポート詐欺のような新たな手口も流行していることが明らかになった。これらの攻撃に対し、日本企業が抱えている課題とは何か。

　説明されている主な注目点は以下の通りだ。

• IC3が追跡調査している犯罪の中で最も報告件数が多く被害額も大きい犯罪が投資詐欺だった。投資詐欺では、悪質な業者が「投資によって大きなリターンを得られる」ことを約束して被害者を勧誘する。特に暗号資産投資家が標的とされている
• BECが最新のインターネット犯罪レポートで2番目に被害額が大きいサイバー脅威だった。BECの背後にいるサイバー攻撃者はユーザーや企業を欺いて不正に資金を移動したり、企業情報を漏えいしたりすることを目的としている。初期の攻撃ベクトルには侵害された正規のビジネスメールアカウント、ソーシャルエンジニアリング攻撃、なりすまし詐欺などの巧妙な手口が使われている。BECではドメインのなりすましが頻繁に利用されるため、これを防ぐDMARC（Domain-based Message Authentication, Reporting, and Conformance）認証の導入が急がれる
• 日本におけるDMARCの導入着手率は60％を超えたが、DMARCの中でも最も高いレベルである「Reject（拒否）」を導入している企業の割合は調査対象の18カ国中最下位だった。従来の詐欺メールは、不完全な日本語や中国語混じりのフォントが使われることも多く、見抜くことが容易だった。しかし生成AIの登場によって、2023年初頭から洗練された日本語の文章を使った詐欺メールを多く観測するようになった。これまで守られていた言語の壁がすでになくなっていることからも、自分の組織になりすまして取引先企業や顧客を襲うドメインのなりすまし脅威をサプライチェーン全体で封じ込めることが重要だ
• 技術サポート詐欺は被害額3位だった。日本においても多くの組織でサポート詐欺の被害が報告されている。2024年2月にはある商工会がサポート詐欺によってPCを遠隔操作され、2000人の個人情報が漏えいした可能性がある他、1000万円を不正送金された事例も発生している
• IC3の報告ではインターネット犯罪の被害額が最も多かったのは60歳以上の高齢者で、被害額は34億ドル（約5100億円）だった。FBIは高齢者を標的とした技術サポート詐欺の増加を警告している。IC3の報告によるとサポート詐欺の被害者のほぼ半数は60歳以上で、被害総額の66％を占めている
• ランサムウェア攻撃はデータを暗号化するだけでなく、金銭的な損害や業務中断の影響を引き起こす。身代金を支払った企業が再び狙われるなど繰り返される脅威でもある。日本においては名古屋港がランサムウェア攻撃によって、業務を2日間停止したり、病院が狙われ一般外来診療を2カ月以上休止せざるを得なかったりした事象が報告されている
• サイバー犯罪の種類ではフィッシングが再び被害届け出件数のトップになった。サイバー攻撃者はビッシング（音声を用いたフィッシング）やスミッシング（SMSを用いたフィッシング）、ファーミング（端末で実行されるコードからフィッシングサイトに誘導する攻撃）といったさまざまな手口で被害者をだました

　日本プルーフポイントは、サイバー攻撃の最大の攻撃経路が電子メールであると認識し、電子メール経由の脅威に効果的に対処することが重要と説明した。