【財務用語解説シリーズ】ビジネスメール詐欺 Part1 事例・手口

ビジネスメール詐欺 Part2 対策はこちら>>

振り込め詐欺の被害は後を絶たず、むしろ手口が高度化していますが、個人に限らず、企業に対する振り込め詐欺の被害も出ています。これはサイバー攻撃を組み合わせて、財務担当者に高額の資金を不正な口座に振り込ませる詐欺で、「ビジネスメール詐欺」と呼ばれています。

日本経済新聞の報道によれば、2014年以降、全国で少なくとも約60社が被害を受け、1社あたり数百万円から数億円をだまし取られたそうです。※1
本項ではビジネスメール詐欺の手口や事例と対策について説明します。


 ※1 「企業狙う振り込め詐欺 上司・取引先装い送金指示 被害約60社に 警視庁が捜査」『日本経済新聞』2016年7 月13日、朝刊。

1. 事例

1.1. ビジネスメール詐欺の事例

日本国内においても2015年頃からビジネスメール詐欺の被害が報告されていて、以下のような事例が報道されています。※2

①東京都内外資系金融機関A(被害額:数億円)

2015年8月ごろ、東京都内の外資系金融機関の経理担当者は、米国本社の幹部を語る英文のメールを受け取りました。“極秘の買収案件のため、すぐに振り込んでほしい”という内容のメールで、その文面は普段と変わらず、社内規定通りの送金指示書になっていて、担当者は、疑うことなく、指定された海外口座に数億円を振り込みました。

 

②東京都内商社B(被害額:約500万円)

 商品代金を振り込む直前、海外の取引先から「送金先の口座が変更になった」というメールが届き、指定された口座におよそ500万円を送金しました。騙されたことは、取引先からの代金未着の問い合わせによって発覚しました。そのメールには、取引先の担当者の名前、これまでの詳細な経緯、手書きで署名された請求書まですべて本物と同じものが添付され、送金先の口座の変更だけが追記されていました。しかし、後でよく見ると、メールアドレスのドメインの一文字が異なっていたそうです。

 

③東京都内商社C(被害額:数百万円)

 2015年10月には、別の東京の商社でもB社と同様に、海外の取引先を装って、「送金先の口座が変更になった」というメールが届き、数百万円を送金してしまいました。2016年に入ってからは、地方の企業などでも被害が確認されているうえに、国内の企業になりすまして、海外の企業に送金を指示する詐欺も確認されているようです。

 犯罪者が貴社になりすますこともあるかもしれません。また担当者ご自身が、このような詐欺の標的にされて会社に損害を与える可能性もあります。詐欺メールの手口に精通しているはずの金融機関の担当者でさえも騙されたことは、記憶に留めるべきでしょう。

 世界では、2015年1月から2016年6月までの間、米国のFBIが把握しただけでも米国内外で2万2,000件のビジネスメール詐欺が発生し、被害総額は約31億米ドルだといいます。※3被害額や深刻度は日本よりも海外の方が大きいですが、日本企業の在外子会社はこの「海外」にいるのです。

 どのケースも担当者がメールに対して何らの疑いを持たなかったという点がポイントです。犯罪者は事前に、メールの差出人、文面の特長やスタイル、承認プロセスなどを調べ上げていることは間違いありません。さらに商社Bの場合、「今その会社に振り込もうとしている」という事実を、犯罪者は把握していたことになります。その情報を調べ上げるテクニックが、標的型メールやスピア・フィッシングと、ソーシャルエンジニアリングというものです。次に標的型メール攻撃の事例を紹介します。

 

1.2. 標的型メール攻撃の事例

 2016年6月、国内最大手の旅行会社Dから最大679万人分もの顧客情報が流出した可能性があることが発覚しました。始まりは3月、子会社の社員が、大手取引先を装ったメールの添付ファイルを開き、ウィルスが作動したことです。同社では、不正侵入を許さないセキュリティ対策を講じていただけではなく、不審なメールを開封しないよう月に2回抜き打ちチェックも行っていたそうです。それにも関わらず、担当者がそのメールを開封してしまったのは、差出人のアドレスが担当者自身と日常的にコミュニケーションがある取引先のもので、メールの件名も添付ファイル名も日常業務で使用されているものだったからです。※4

 同様の手口で、2015年6月には、年金を管理する特殊法人から125万件超の情報流出、同じ月には公益経済団体で1万数千件の情報が流出しました。このほか、報道からいくつか拾っただけでも、エネルギーの産業団体で3万件弱、私立大学で3千人分の情報が流出しました。

 標的型メールは、本物に限りなく似せているために、セキュリティの仕掛けでは検知が難しく、すり抜けやすいとされます。そこでD社は研修や抜き打ち検査のようにIT以外の対策をとっていたわけですが、それでも大きな被害を出してしまったという点に怖さがあります。

 

1.3. 被害件数と標的

 情報漏洩と違って詐欺被害は通常公表されませんし、場合によっては警察に届け出すらされませんので、ビジネスメール詐欺の正確な被害件数は不明ですが、既に多くの日本企業がビジネスメール詐欺の攻撃対象となっているようです。そこで用いられるメールは、CEOからCFO宛のメールが最も多く、トップからの依頼のためすぐ送金してしまったというケースが多いようです。しかも、役員は一般社員よりも詐欺メールを信じてしまう傾向が高いそうです。

日本企業も攻撃対象

 ビジネスメール詐欺の被害件数はわかりませんが、メール件数については調査データがあります。情報セキュリティ大手のトレンドマイクロ社が2016年1~6月に収集したビジネスメール詐欺関連のメールの中に、218社の日本企業が含まれていたと発表しました。圧倒的に件数が多いターゲットは米国企業ですが、日本企業は英国と香港に次いで4位です。※5

もっとも多いのは、CEOからCFO宛のメール

 詐欺メールの中で最も多くなりすましに使用された職位がCEO(全体の31%)で、最も多く狙われた職位がCFO(全体の40%)でした。※6

役員は社員よりも引っかかりやすい

 情報セキュリティ会社のNRIセキュアテクノロジーズ社が行った標的型メール攻撃の模擬訓練では、役員が被害に遭う確率(添付ファイルを開いたり、リンクをクリックしたりする確率)は一般従業員の1.6倍だったそうです。※7

 


※2 ここでの事例は次のウェブ記事と新聞記事からの引用です。NHK NEWS WEB「ニュースで知るサイバーセキュリティ」http://www3.nhk.or.jp/news/special/net-security/article_bec.html,および注1の日本経済新聞記事。
※3 FBI Public Service Announcement「BUSINESS E-MAIL COMPROMISE: THE 3.1 BILLION DOLLAR SCAM」https://www.ic3.gov/media/2016/160614.aspx, 2016年6月14日。
※4 「標的型メールの脅威(上)手口巧妙、水際対策に限界 不審察知、AI活用急ぐ」『日本経済新聞』2016年 7 月6日、朝刊。
※5 トレンドマイクロ社(2016年8月24日)『2016年上半期セキュリティラウンドアップ』。
※6 注5に同じ
※7 「標的型メールの感染率 役員、従業員の1.6倍 野村総研系調べ」『日本経済新聞』2016年8月19日、朝刊

 

2. 用語の定義

 ここであらためて用語の定義について説明します。各用語とも厳密な定義はないようで、文献や報道等で若干の差異があります。手口が巧妙化して新たな詐欺が出てきているので、厳密な定義を追求することはそれほど意味がないのかもしれませんが、官公庁や報道機関、セキュリティ関連団体での定義や使用例をもとにすると、以下のように理解して間違いはないと思われます。

①ビジネスメール詐欺

 「ビジネスメール詐欺」とは、上司や役員、取引先になりすまして、メールで会社に偽の送金指図を行い、本物であると信じた担当者に海外の銀行口座へ多額の現金を振り込ませるものです。

 英語では、Business E-Mail Compromise (BEC) と呼ばれます※8が、日本語では確定した用語ではなく、NHKや日本経済新聞の報道※2では「ビジネスメール詐欺」としている一方、全国銀行協会では一語では表現せず、「法人間の外国送金の資金をだまし取る詐欺」と説明しています※9。「ビジネスメール偽装詐欺」と訳しているセキュリティソフトベンダーもあります※10

 このようにこれらの手口の呼び方は未だ確定していませんが、ここでは報道で用いられている「ビジネスメール詐欺」という呼び方を使用します。
 ビジネスメール詐欺でよく見られる手口は、以下のようなものです。

Ÿ  ● CEOやCFOなどの経営層や上司、取引先からの指示を装います。

 Ÿ ●   装うために予め、従業員や取引先のパソコンを何らかの方法でウィルスに感染させ、3か月から半年ほどメールのやり取りを監視して、業務内容や文面の特長を調べあげます。

 ● その指示者が休暇中でなかなか連絡が取れない等、メールで指示を受け取った担当者が電話で確認できないような状況を狙ってきます。

 ● 緊急性の高い支払を装い、担当者が指示者に確認できないにも拘らず振り込む判断をするという状況を作らせます。

 

②フィッシング、標的型メール、スピア・フィッシング

 似たような詐欺の用語として、フィッシング、標的型メール(標的型攻撃)、スピア・フィッシングという用語もありますので、その違いを説明します。
 これらの用語も同様に厳密な定義がされているわけではありませんが、官公庁やセキュリティ団体の使用例をもとにしますと、概ね以下のような定義になります。

【フィッシング】

 銀行やクレジットカード会社などの実在する企業や組織を装った電子メールやホームページを用いて、ユーザーID、パスワード、暗証番号、クレジットカード番号といった個人情報を詐取することです※11

 多くの場合、電子メールに添付されたウィルスが入ったファイルを開封させ、そのウィルスによって個人情報を抜き取ったりします。また、電子メールに記載のURLをクリックさせて悪意のあるホームページに誘導し、そのホームページに個人情報を入力させたり、そのホームページから悪意のあるプログラムをインストールさせたりします。

【標的型メール(標的型攻撃)】

 標的型メールとは、フィッシングのうち、無差別かつ不特定多数ではなく、特定の組織やグループを対象としたものです※12

【スピア・フィッシング】

 スピア・フィッシングとは、標的型メールのうち、標的となる組織に特化した差出人や文章を使ったフィッシングのことです※13。メールの受信者一人一人に合わせた差出人やメールタイトルにしているため、検知が極めて難しい標的型攻撃の1 つです。

 

③ソーシャルエンジニアリング

 ビジネスメール詐欺とスピア・フィッシングが怖いのは、メールの差出人、メールのタイトルや文章が、日常の業務で用いられているものと全く同じで、メールを受け取った本人が、なりすましであることを全く疑いもしないという点です。

 これらのメールを送った犯罪者は明らかに、日常の業務を監視していて、誰からどのようなタイトルと内容のメールが日常送られてきているか、今何をしようとしているか、承認ワークフローは誰から誰になっているか、すべて把握したうえで、メールを作成して送ってきています。

 では、犯人グループはどのようにして情報を入手しているのでしょうか。ひとつはハッキングによってメールを監視していることがありますが、もう一つ、ソーシャルエンジニアリングと呼ばれる手法もあります。これはハッキングや悪意のあるプログラムなどのITを使わずに、秘密情報を聞き出すというものです。

 その古典的な方法は、電話でパスワードなどを聞き出すという方法です。役員、部外の上席者、担当者、顧客等になりすまして管理者に電話して、パスワードをリセットしてもらったり、逆に管理者になりすまして、理由をつけて担当者からパスワードを聞き出します。

 そのほかに、パソコンやATM等の端末を操作している時にその肩越しに除き見る方法があります。パソコンのモニターの周辺にパスワードを付箋に書いて貼ってある場合、それをちらっと見て暗記する方法(ショルダハッキング)もその一つです。ほかにごみ箱を漁るという方法はトラッシングと呼ばれます。

 同僚がこれらのことを行うこともあるでしょうが、外部の犯罪者が清掃会社員として執務スペースに侵入するのは代表的な手口です。

 また犯罪者は、直接電話したり覗き見るだけではなく、企業のホームページをはじめ、インターネットを検索することで得られるその企業の情報を基にさらに検索をかけ、主な取引先やプロジェクト名などを入手します。その企業の従業員個人のSNSやツイッターなどの投稿サイト、ブログなどのソーシャルメディアに書き込まれた情報もターゲットです。

 ハッカーによれば、ソーシャルエンジニアリングの方法論が確立していて、その成功率は99.5%と高いそうです※14。英国の実験ではチョコレートと引き換えに7割の人がパスワードを教えてくれたとか、米国では、日本の震災の安否情報を探すという名目でネットで個人情報を集め、後日電話をして寄付の名目で振り込ませたそうです。

 自分はだまされないと思っていても、犯罪者が本気になれば、個人情報を入手して、本物同様のメールを送ることはたやすい状況になっているようです。



※8 米国のFBIの定義。https://www.fbi.gov/file-repository/email-compromise_508.pdf
※9 全国銀行協会「法人間の外国送金の資金をだまし取る詐欺にご注意!」 http://www.zenginkyo.or.jp/topic/detail/nid/3561/
※10 シマンテック社公式ブログ (2015年12月10日)(http://www.symantec.com/connect/ja/node/355294
※11 警察庁 フィッシング110番(http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm)、フィッシング対策協議会「フィッシング対策ガイドライン」の定義を筆者まとめ。
※12 JPCERT コーディネーションセンター「標的型攻撃について」(2008年9月)
※13 注12に同じ
※14 ASCII.jp「ハッカーが語る本当にあった怖いソーシャルエンジニアリング」http://ascii.jp/elem/000/000/791/791922/, 2013年5月24日。

 

3. 手口まとめ

 これらの詐欺手法とビジネスメール詐欺との関係について、代表的なパターンは以下のように整理できそうです※15


※15 筆者作成。犯罪の手口なので全てこのパターンとは限定できませんが、さまざまな定義や事例を総合するとこのように整理できると考えます。

 

(図1)ビジネスメール詐欺にかかる詐欺手口

ビジネスメール詐欺にかかる詐欺手口の画像

●フィッシングや標的型メールと、ソーシャルエンジニアリングによって、「標的の情報」を取得します。

「標的の情報」をもとに、標的専用に用意した文面で、マルウェア(悪意のあるソフトウェア)をメールで送ります(スピア・フィッシング)。

●ウィルスに感染させ、メールを3か月から半年ほど監視し、標的個人の業務内容の詳細、メールのタイトルや文面の特長、承認者と承認プロセスなどを調べ上げます。

●緊急性の高い支払指示を装ったメールを、標的が確認できないようなタイミングを狙って、標的に送り付け、振り込ませます。
 

ビジネスメール詐欺 Part2 対策はこちら>>