“注意力”だけではもう見破れない？ 日本企業を狙うメール詐欺の進化：半径300メートルのIT（1/2 ページ）

あなたが取引先や同僚とやりとりしているメールの中に、精巧に作られた“偽物”が隠れている――そう言われたら、素直に信じられますか？　日本の企業をターゲットにじわじわと広がりつつあるBEC攻撃を紹介します。

[宮田健，ITmedia]

“BEC”を忘れてませんか？

　情報処理推進機構（IPA）が、「日本語でのBEC攻撃がやってきた」という興味深い注意喚起を行っています。

• 【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口（続報）（IPA 独立行政法人 情報処理推進機構）

　皆さんは覚えているでしょうか。BECとは、本コラムでも2017年末に取り上げた、「ビジネスメール詐欺（BEC：Business E-mail Compromise）」のことです。

　BECは単純なメール詐欺ではありません。攻撃者はあらかじめターゲット企業のネットワークに忍び込み、組織図や外部との請求書などのやりとりを調べ上げます。そして、ターゲット企業がいつも送金を行うタイミングに合わせて巧妙な偽メールを送ることで、不正な口座へ振り込むように仕向けるのです。2017年には、日本航空が被害に遭った事件が大変な話題になり、日本におけるビジネスメール詐欺への注目が一気に高まりました。

• あなたのメールも“完コピ”される――JALすらハマった「ビジネスメール詐欺」の恐ろしさ

　最近話題になっていないからといって、BECはなくなったわけではありません。IPAによれば、2015年11月から2018年7月の約2年半で計17件の情報提供があり、うち5件で金銭的被害が確認されているとのこと。さらに、2018年8月には「日本語での攻撃」が報告されたいうのです。

日本語でのビジネスメール詐欺の文面（IPA「【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口（続報）」から引用）

　なぜ、「日本語の攻撃」に注目するのか、不思議に思う方もいるのではないでしょうか。日本航空への攻撃は、香港とのやりとりの中で行われました。海外では、以前からBECが話題になっていましたが、日本では「海外の攻撃者が不自然な日本語で書いた攻撃メールは、怪しいとすぐばれる」という、いわば“言葉の防御壁”が働いていたのです。しかし、それもとうとう破られたといえます。文面からの判断が難しくなった今、私たちは本格的に、BECという現実と向き合う必要が出てきました。

日本におけるビジネスメール詐欺の現状

　日本におけるBECの現状は、セキュリティベンダーのトレンドマイクロによる調査レポートで明らかになっています。例えばレポートでは、日本企業の約4割が、既にBEC攻撃を受けた経験があると報じています。

　さらに、日本企業で偽送金依頼メールを受信した253人のうち、8.7％に当たる22人がだまされ、指定の口座に送金してしまったことが明らかになっています。22人のうち12人は「従業員1000人以上の組織」――つまり、大企業の社員でした。攻撃の監視プロセスがしっかりしている大企業でも見逃してしまうような攻撃があった、という点は重要といえるでしょう。

従業員規模別メール受信経験割合。これを見ると、企業規模に関係なくメールが届いていることが分かる（トレンドマイクロ「ビジネスメール詐欺に関する実態調査 2018」から引用）

• 「ビジネスメール詐欺に関する実態調査 2018」を発表（トレンドマイクロ）

　では、実際どのような「攻撃」が行われるのでしょう。恐らく皆さんは、「これまで個人で受け取ってきたフィッシングメール同様、自分が気を付ければ見破れる」と思っているのではないでしょうか？