近年、海外を中心に巧妙なメールのやり取りを通じて企業が多額の金銭をだまし取られる「ビジネスメール詐欺」(BEC)の被害が深刻化している。国内でも情報処理推進機構(IPA)が注意を呼び掛けるなど、危険性が高まっているようだ。BECの手口や対策について、トレンドマイクロ 上級セキュリティエバンジェリストの染谷征良氏に聞いた。
ランサムウェアよりもうかるBEC
BECの名前は、英語の「Business Email Compromise」の頭文字を取ったもので、直訳では「ビジネスメール侵害」となる。文字通り、犯罪者がビジネスに関わるメールを悪用する手口という意味だが、染谷氏は「最終的には金銭をだまし取られるので、『詐欺』との表現が実態に即している」と解説する。
米連邦捜査局(FBI)が2016年6月14日に公表したBECに関するレポートによると、2013年10月から2016年5月までに1万5668件の被害が発生し、損失額は10億5384万9635ドルに上る。被害件数と損失額の約9割を米国が占めるが、米国以外に100カ国で被害が報告された。
またNRIセキュアテクノロジーズが、2016年に米国およびシンガポールの従業員500人以上の企業を対象に実施した情報セキュリティ実態に関するアンケート調査によれば、過去1年間に米国企業の75.2%、シンガポール企業の65.6%で、社員がBECのメールを受信したと回答。こうした企業のうち米国では60.6%、シンガポールでは37.5%が金銭的被害に遭ったと答えている。
BECの被害は海外で目立つが、トレンドマイクロの観測によれば、BEC関連のメール受信した法人組織は米国の37.55%を筆頭に、英国(9.61%)、香港(2.85%)、日本(2.75%)、インド(2.39%)、ブラジル(2.34%)など92カ国に上る。BECの危険性は、既に世界で広がっているのが実情だ。
2016年にBEC関連のなりすましメールを受信した法人組織数ごとの国別マップ(出典:トレンドマイクロ)
企業などの法人組織が金銭被害に遭うサイバー犯罪では、マルウェアを使ってインターネットバンキングでの不正送金を行うものや、データを人質に金銭を要求する「ランサムウェア」が知られる。
染谷氏によれば、インターネットバンキングを狙う犯罪では、犯罪者が法人組織の利用するサービスに合わせて攻撃手法をカスタマイズする手間から、難易度が高いという。ランサムウェアは攻撃手法をカスタマイズする手間が少ない一方、相手から搾取できる金額は数万円から数百万円ほどにとどまる。
これらに比べてBECは、メールで相手をだますことができれば、ランサムウェアよりもはるかに多くの金銭を搾取できる。海外で被害が明るみなったケースでは、被害額が数千万円から数十億円規模に上り、中には犯罪者にだまされた最高経営責任者(CEO)や最高財務責任者(CFO)が解任された事件も。また、サイバー保険に加入していた企業では、BECによる損害の補償が適用されず、保険会社との間で現在も訴訟合戦が続いているという。
「BECは、相手をだますテクニックさえあれば、高度なマルウェアなどを使うことなく簡単に大金を得られる。メールを使うという意味ではサイバー犯罪だが、実態は非常に古典的な犯罪」と染谷氏。犯罪者が相手をだます手口は、主に5つのパターンがあるという。
