【動画でも解説】ビジネスメール詐欺(BEC)とは？手口と対策を解説

近年、企業を狙ったサイバー攻撃の手法が巧妙化し、その中でもビジネスメール詐欺（Business Email Compromise: BEC）が大きな脅威となっています。BECは、取引先や経営者になりすまして不正な送金を促す手口で、多くの企業に深刻な被害をもたらしています。本記事では、BECの概要や手口、そして効果的な対策について詳しく解説します。

ビジネスメール詐欺（BEC）は、サイバー犯罪の一種で、取引先や自社の経営者などになりすまして、不正な送金を指示する詐欺行為です。警察庁の定義によると、BECは「ビジネスメールを装った巧妙な騙しの手口により、企業や組織から送金を引き出す詐欺」とされています。攻撃者は、社内の情報や取引関係を巧みに利用し、正当な取引や指示であるかのように装って、大規模な金銭的被害を引き起こします。

BECの特徴として、通常のフィッシング詐欺とは異なり、不特定多数を狙うのではなく、特定の企業や個人を標的にする点が挙げられます。攻撃者は、ソーシャルエンジニアリングの手法を駆使して、企業の内部情報や取引関係を詳細に調査し、極めて説得力のある偽装メールを作成します。そのため、受信者が詐欺であることに気づきにくく、被害が拡大しやすいのが現状です。

取引先に偽装するビジネスメール詐欺の手口は、最も一般的で被害も大きいものの一つです。攻撃者は、実在する取引先の情報を入手し、そのメールアドレスや社名、ロゴなどを巧妙に模倣します。この手法では主に以下のような手順が取られます。

1. 攻撃者は、標的企業と取引関係にある企業の情報を収集します。
2. 取引先のメールアドレスに酷似したドメインを取得し、偽のメールアカウントを作成します。
3. 取引先になりすまして、請求書の支払い先口座の変更や緊急の送金依頼などを装ったメールを送信します。
4. 被害者が偽の口座に送金することで、金銭的被害が発生します。

この手口の危険性は、正規の取引の流れに紛れ込むことで、受信者の警戒心を低下させる点にあります。例えば、実際の取引の途中で突然口座変更の連絡が来ても、多くの従業員は疑いを持たずに対応してしまう可能性が高いのです。

経営者層になりすますビジネスメール詐欺は、組織の指揮系統を悪用する極めて危険な手法です。この手口では、攻撃者が企業の経営者や上級管理職になりすまして、部下や財務担当者に対して緊急の送金や機密情報の提供を要求します。警察庁のサイバー犯罪対策ページによると、この手法の特徴として以下の点が挙げられています。

1. 攻撃者は、企業の公開情報や社会工学的手法を用いて、経営者の名前、役職、メールアドレスなどの情報を入手します。
2. 経営者のメールアドレスに酷似した偽アドレスを作成するか、実際のアカウントをハッキングします。
3. 緊急案件や秘密裏の取引を装って、部下に対して迅速な送金や情報提供を指示します。
4. 組織の階層構造や権威を利用して、被害者に疑問や確認の機会を与えないよう圧力をかけます。

この手口の危険性は、組織内の権力構造を悪用することで、通常のセキュリティプロトコルや確認プロセスを無視させる点にあります。多くの従業員は、上司からの緊急の指示に疑問を持つことを躊躇するため、被害が拡大しやすいのです。

第三者のメールアドレスを悪用するビジネスメール詐欺は、正規のメールアカウントを不正に利用することで、より高度な偽装を実現する手法です。この手口では以下のようなステップが踏まれます。

1. 攻撃者は、フィッシングやマルウェアなどの手段で、取引先や関係者の正規のメールアカウントに不正アクセスします。
2. 侵害されたアカウントの過去のメールやコンタクトリストを分析し、取引の詳細や通信スタイルを把握します。
3. 正規のアカウントを使用して、標的企業に対して偽の請求書や支払い指示を送信します。
4. 必要に応じて、メールの転送ルールを設定し、不正な活動の痕跡を隠蔽します。

この手法の危険性は、正規のメールアドレスを使用するため、受信者側で詐欺を見破ることが極めて困難な点にあります。通常のセキュリティチェックや送信元の確認では検知できないため、被害が深刻化しやすいのです。

ビジネスメール詐欺（BEC）がもたらす被害は、単なる金銭的損失にとどまらず、企業の信頼性や業務継続性にも深刻な影響を与える可能性があります。警察庁の報告によると、BECによる被害は年々増加傾向にあり、2022年には過去最高の被害額を記録したとされています。具体的な被害リスクとしては、以下のようなものが挙げられます：

• 直接的な金銭的損失：
  最も明白な被害は、不正な送金による直接的な金銭的損失です。BECの特徴として、一回の詐欺で大規模な資金が流出する傾向があり、企業の財務に甚大な影響を与える可能性があります。
• 業務の中断と混乱：
  BECの被害に遭うと、関連する取引や業務プロセスが一時的に停止する可能性があります。資金の回収や調査に時間を要し、通常の業務フローが大きく乱れることで、企業の生産性に深刻な影響を与えかねません。
• 信用の失墜：
  BECの被害が公になると、取引先や顧客からの信頼を失う可能性があります。特に、顧客の個人情報や機密データが漏洩した場合、その影響は長期にわたり企業の評判を傷つける恐れがあります。
• 法的責任と罰則：
  BECによって顧客や取引先の資金や情報が流出した場合、企業は法的責任を問われる可能性があります。データ保護法違反や注意義務違反などで訴訟リスクが高まり、多額の賠償金や罰金を課される恐れがあります。
• セキュリティ対策コストの増大：
  BECの被害を受けた企業は、再発防止のためにセキュリティ対策を強化する必要があります。これには、新たなセキュリティシステムの導入や従業員教育の強化など、多額の追加コストが発生する可能性があります。
• 従業員のモラル低下：
  BECの被害に遭うと、特に直接関与した従業員の心理的負担が大きくなります。責任追及や処分の恐れから、職場の雰囲気が悪化し、従業員のモチベーションや生産性が低下する可能性があります。

これらのリスクは相互に関連しており、一つの被害が連鎖的に他の問題を引き起こす可能性があります。そのため、BECへの対策は企業の存続にも関わる重要な課題と言えるでしょう。

多要素認証（MFA: Multi-Factor Authentication）の導入は、BEC対策の要となる重要な施策です。MFAは、単一のパスワードだけでなく、複数の認証要素を組み合わせてアカウントへのアクセスを制御する仕組みです。MFAの導入には以下のような利点があります。

1. アカウントの安全性向上：
   パスワードが漏洩しても、追加の認証要素があるため、不正アクセスのリスクを大幅に低減できます。
2. フィッシング攻撃への耐性：
   フィッシングサイトでパスワードを入力しても、第二の認証要素がないため、攻撃者はアカウントにアクセスできません。
3. 不正アクセスの早期検知：
   通常と異なる場所や端末からのログイン試行を検知し、迅速に対応することが可能です。

MFAの導入に当たっては、以下のような具体的なステップを踏むことが推奨されます。

1. 重要なアカウントの特定：
   財務系システムや機密情報を扱うアカウントなど、優先度の高いものから順次導入します。
2. 適切な認証要素の選択：
   スマートフォンアプリによるワンタイムパスワード、生体認証、物理的なセキュリティキーなど、業務の性質に合わせて選択します。
3. ユーザー教育の実施：
   MFAの重要性と使用方法について、全従業員に対して定期的な教育を行います。
4. 定期的な見直しと更新：
   新たな脅威や技術の進化に合わせて、MFAの方式や運用ルールを定期的に見直します。

MFAの導入により、ビジネスメール詐欺の主要な攻撃ベクトルの一つであるアカウント乗っ取りのリスクを大幅に軽減することができます。

不審なメールのフィルタリングは、ビジネスメール詐欺(BEC)の対策において重要な防御ラインの一つです。高度化するBECの手口に対応するためには、従来のスパムフィルターを超えた、より洗練されたフィルタリング技術が必要となります。警察庁のサイバーセキュリティ対策ページによると、効果的なメールフィルタリングには以下のような要素が含まれます。

1. 送信元の検証：
   SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication, Reporting and Conformance）などの技術を用いて、メールの送信元を厳密に検証します。
2. コンテンツ分析：
   機械学習やAIを活用して、メールの本文や添付ファイルの内容を分析し、不自然な表現や典型的なBECの特徴を検出します。
3. 振る舞い分析：
   通常の業務パターンと異なる送信頻度や時間帯、普段とは異なる送信者と受信者の組み合わせなどを検知します。
4. URL・添付ファイルの検査：
   メールに含まれるURLや添付ファイルをサンドボックス環境で実行し、マルウェアや不正なウェブサイトへの誘導を検出します。
5. ポリシーベースのフィルタリング：
   組織の業務ルールや取引パターンに基づいて、不自然な送金指示や情報要求を含むメールを自動的にブロックまたは警告します。

これらの技術を組み合わせることで、より精度の高いフィルタリングが可能になります。ただし、フィルタリングシステムの導入だけでなく、以下のような運用面での対策も重要です。

1. 定期的なルール更新：
   新たなBECの手口や攻撃パターンに対応するため、フィルタリングルールを定期的に更新します。
2. ホワイトリストの管理：
   誤検知を防ぐため、信頼できる送信元のリストを適切に管理し、定期的に見直します。
3. ユーザー教育：
   フィルタリングシステムの限界を理解し、疑わしいメールに対する人的チェックの重要性を従業員に教育します。
4. インシデント対応プロセスの整備：
   フィルタリングで検出された不審なメールに対する対応手順を明確化し、迅速な調査と対策を可能にします。

これらの対策を総合的に実施することで、BECによる被害のリスクを大幅に低減することができます。

ビジネスメール詐欺（BEC）対策において、技術的な対策と並んで重要なのが社内ルールの整備です。警察庁のサイバーセキュリティ対策ガイドラインによると、効果的な社内ルールには以下のような要素が含まれるべきとされています。

1. 送金プロセスの厳格化：
   • 一定額以上の送金には、複数の承認者による確認を必須とする。
   • 送金先の口座情報変更には、電話やビデオ通話など、メール以外の手段での二次確認を義務付ける。
   • 緊急の送金要請に対しては、必ず上長や財務部門との協議を経るようにする。
2. コミュニケーションプロトコルの確立：
   • 重要な取引や機密情報のやり取りには、事前に合意された安全な通信手段を使用する。
   • メールでの重要な指示や情報提供には、必ず電話やビデオ通話での確認を行う。
   • 社内外の重要な連絡先リストを定期的に更新し、全従業員で共有する。
3. 情報セキュリティ教育の徹底：
   • 全従業員を対象とした定期的なBEC対策研修を実施する。
   • 最新のBEC手口や対策について、定期的に情報を共有する。
   • 新入社員や役職変更者に対して、特別なセキュリティ教育を行う。
4. インシデント報告・対応プロセスの確立：
   • 不審なメールや取引要求を発見した際の報告ルートを明確化する。
   • BEC被害が疑われる場合の初動対応手順を整備し、全従業員に周知する。
   • 定期的にインシデント対応訓練を実施し、プロセスの実効性を確認する。
5. アクセス権限の管理：
   • 財務システムや機密情報へのアクセス権限を定期的に見直し、必要最小限に制限する。
   • 退職者や異動者のアカウント管理を徹底し、不要なアクセス権限を速やかに削除する。
   • 特権アカウントの使用には、常に複数人での承認を必要とする。
6. 取引先との協力体制の構築：
   • 主要取引先とBEC対策に関する協力協定を結び、相互に警戒情報を共有する。
   • 取引先との重要なやり取りには、事前に合意された認証コードや確認プロセスを導入する。
   • 定期的に取引先とのセキュリティ対策の見直しミーティングを開催する。

これらのルールを効果的に機能させるためには、以下のような取り組みも重要です。

7. 経営層のコミットメント：
   • BEC対策の重要性を経営層が明確に示し、全社的な取り組みとして位置付ける。
   • 定期的に対策の進捗状況を経営会議で報告し、必要に応じて追加の資源を投入する。
8. 定期的なルールの見直しと更新：
   • 最新のBEC手口や法規制の変更に合わせて、少なくとも年1回はルールを見直す。
   • 従業員からのフィードバックを積極的に収集し、ルールの改善に活かす。
9. コンプライアンス監査の実施：
   • 内部監査部門と連携し、BEC対策ルールの遵守状況を定期的に確認する。
   • 監査結果を基に、ルールの実効性を評価し、必要に応じて改善を行う。

これらの社内ルールを総合的に整備し、継続的に改善していくことで、組織全体のBECに対する耐性を大幅に向上させることができるでしょう。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。また、IT導入補助金を活用して導入することも可能です。
ご興味がございましたらお気軽にお問い合わせください。