米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)が現地時間5月4日に発表したビジネスメール詐欺(BEC)に関する最新レポートによると、被害総額が2016年6月から2021年12月までに約430億ドル(約5兆6200億円)に達したことが分かった。
BECは、サイバー犯罪者が組織の幹部や取引先などになりすまし、ビジネスに関するメールなどのやりとりを悪用し多額の金銭や正規ユーザーのアカウント情報、個人情報などをだまし取る詐欺犯罪の一種。FBIは、従業員の個人情報や賃金、税金、暗号通貨資産も窃取の対象になると解説する。
最新レポートでは、電子メールアカウント詐欺(Email Account Compromise=EAC)を含む被害が大企業だけでなく、中小企業や個人の取引にも拡大していると警鐘を鳴らす。2019年7月から2021年12月の間に被害が65%増加したとし、BECは全米の50州177カ国で確認され、144カ国以上で送金が発生した。この背景には、新型コロナウイルス感染症の大流行(パンデミック)による影響があるといい、従来の商慣習による取引が困難になったことからオンラインを含む新たな取引形態の増加が犯罪被害の増加につながったという。
IC3の調査では、犯罪者にだまされた組織や個人が資金を振り込んでしまう先の多くは、タイおよび香港の金融機関だった。これに中国、メキシコ、シンガポールが続き、IC3はアジアがBEC送金先の一大エリアになっていると指摘している。
また、金銭のやりとりに暗号通貨を用いるケースも、2018年以前はほとんど確認されなかったが、2019年以降に急増し、2021年は4000万ドル強に上ったという。匿名性や取引処理の迅速性が犯罪者に好まれているといい、FBIは今後さらに増える恐れがあると、警鐘を鳴らす。主な手口には、被害者が暗号通貨の取引所などにそのまま送金してしまう「直接送金型」と、犯罪者が別の人間を雇用しその人物の名義で開設された口座に送金してしまう「2段階送金型」の2つがあるという。
暗号通貨を用いたビジネスメール詐欺被害の推移(出典:FBI IC3)
BEC対策としてFBIは、下記の方法を紹介している。
- アカウント情報の変更依頼は、複数の経路もしくは2段階認証を利用して確認する
- メールに記載されたURLが本当に送信者に関連したものであるか確認する
- ハイパーリンクの中に、実在の名称と誤認識させるような怪しい記述があるかどうか確認する
- メールでアカウント情報や個人にまつわる情報を提供することは控える
- 特にスマートフォンなどのモバイル端末では、送信者のメールアドレスと送信元が正しく一致しているか確認する
- 組織では、従業員のコンピューターでメールの内容が完全に表示されるように設定しておく
- 預金の不足といった通常とは異なる状況が発生していないか、金融機関の口座を常に確認する