情報処理推進機構(IPA)は4月27日、ビジネスメール詐欺(BEC)に対する警戒を改めて呼びかけた。これまでに114件の相談があり、金銭をだまし取られるなどの被害は17件に上るという。
BECは、実在する取引先や組織の経営陣などになりすまして経理や財務などの担当者に送金を依頼し、多額の金銭をだまし取るサイバー犯罪の一種。メールなどのコミュニケーションツールを使って巧妙なやりとりを重ねることで相手をだますなど、サイバー犯罪でありながら、人の心理を悪用する典型的な詐欺でもある。
IPAによれば、BECでは日本企業の海外支社などが標的される傾向だったが、日本語の偽のメールで国内企業が直接狙われる事例も確認された。
3月に発生した事案では、犯罪者が国内企業の親会社のCEO(最高経営責任者)になりすまして、複数のグループ会社に詐欺メールを送りつけた。メールの日本語文章に不自然な点が少なく、グループ会社の1つが返信したところさらなる日本語のメールが送られてきたという。メールの一部に受信者が開封したことを送信者が追跡できるウェブビーコンも埋め込まれていた。
3月に見つかった日本語のビジネスメール詐欺のメール
この手口と同様の詐欺メール事案は8件あり、日本語が2件、英語が6件だった。IPAでは英語による攻撃手法を日本語化したものと分析し、日本が本格的に標的となりつつある兆候に見受けられるとしている。4月にかけては、新型コロナウイルスに便乗する手口も見つかっているという。今後は休業補償などのネタで企業をだますサイバー犯罪が増加する危険性も考えられる。
BECは、セキュリティソフトなどの技術的な対策のみでは検知が難しく、IPAでは下記の対処方法をアドバイスしている。
- 普段と異なるメールに注意し、不審なメールは社内で相談・連絡し、情報共有する
- 電信送金に関する社内規程を整備(チェック体制の整備)する。急な振込先や決済手段の変更などが発生した場合、取引先へメール以外の方法で確認する
- セキュリティソフトを導入し、最新状態にする
- メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しをしない
- メールシステムでの多要素認証、アクセス制限の導入を検討する