経営層や取引先などになりすます
BECで主にみられる5つのパターンのうち、特に多いのは経営幹部になりすまして偽の送金指示をするパターンと、取引先になりすまして偽の請求書を送り付けたり、送金先の変更を依頼したりするパターンの2つになる。
前者の場合は、犯罪者がCEOや社長といった経営幹部になりすまして、財務や経理などの担当者、責任者にメールで送金を指示する。メールでは、「緊急案件」や「機密案件」といった件名や内容が用いられる。犯罪者は、受信者に危機感を抱かせ、通常とは異なるプロセスで送金するように仕向ける。
「企業買収のような機密性の高い案件が実際に進んでいる状況で経営層から急に指示があれば、財務担当者はメールの送信者や内容を信じ込んで、送金してしまう」
日本語で記載された場合に想定されるBECのなりすましメールの例(出典:トレンドマイクロ)
後者の場合は、取引先になりすました犯罪者が「支払い先口座を変更したい」「トラブルで通常の口座が使えず、別の口座で対応してほしい」といった内容のメールを、営業担当者や経理担当者などに送り付ける。受信者はその内容を安易に信じて入金してしまい、後に正規の取引先からの連絡で被害が発覚するケースが多い。
「犯罪者は、正規の取引先と担当者のやり取りを監視しており、実際に請求したり、入金したりする頃合いになって犯行を仕掛ける。標的にされた担当者は、それまでの仕事の流れでメールに対応してしまうため、途中で相手が犯罪者になったことに気が付けない」(染谷氏)
これらの手口では、送信メールにフリーアドレスや正規のアドレスに似せた文字列のアドレスが使われる場合がある。それを見抜くポイントはIPAも紹介している。ただし染谷氏は、正規のアドレスでメールを送り付ける3つ目のパターンでは、見抜けないと指摘する。これは、犯罪者がなりすます人物の正規のメールアカウントを既にハッキングしているため、受信者は正規の相手の返信したところで、犯罪者に内容が筒抜けになっている。
残る2つのパターンのうち、1つは経営幹部や取引先ではなく、法律事務所や弁護士などをかたって送金を要求するパターンだ。犯罪者は、メールで「事情により経営幹部に代わって送金を依頼した」などと持ち掛けてくる。もう1つは、送金の依頼ではなく、従業員などの個人情報の提供を依頼する手口だ。「例えば、『年末調整のためだ』と称して大量の個人情報を送ってほしいと要求してくる」(染谷氏)