企業の業務においてメールは不可欠なコミュニケーション手段です。しかし、この利便性を悪用した「ビジネスメール詐欺(Business Email Compromise:BEC)」が、近年急増しています。巧妙に偽装されたメールにより、企業は大きな損害を被ることもあります。
ビジネスメール詐欺は、単なる迷惑メールや一般的なフィッシングとは異なり、取引先や上司になりすまし、正規の業務フローの中で金銭や機密情報を詐取するという、極めて巧妙なサイバー犯罪です。
本記事では、ビジネスメール詐欺の定義と特徴、国内外で確認された具体的な手口、さらに企業が実践すべき対策を解説します。
まずはビジネスメール詐欺の基本的な概要と特徴を押さえましょう。
従来型のフィッシング詐欺とどう違うのか、攻撃者がどのようにアプローチするのかを説明します。
ビジネスメール詐欺は無差別ではなく、ターゲットを絞った攻撃です。その主なターゲットは、経営層(社長・役員)や経理・財務担当者など、企業の資金や契約を直接動かせる立場の人物が対象となります。
理由は単純で、これらの役職者は高額な送金の最終承認権限を持っており、攻撃が成功すれば短期間で巨額の利益を得られるからです。
攻撃者は、企業の公式ウェブサイトやSNS、プレスリリース、採用情報などから役職・部署・取引先などの情報を細かく収集します。例えば、役員の名前やメールアドレス、取引銀行、定期的な支払い先などの情報を事前に押さえ、権限を持つ人とその人から指示を受ける人を特定します。こうして、標的の信頼を得やすい状況を整えたうえで攻撃を仕掛けます。
一見するとビジネスメール詐欺はフィッシング詐欺と似ていますが、実態は大きく異なります。
・フィッシング詐欺
:不特定多数の人に銀行や通販サイトなどを装ったメールを送り、偽サイトへ誘導してIDやパスワード、カード番号を盗みます。
・ビジネスメール詐欺
:特定の企業や個人を狙い、実在する人物や取引先になりすまして、送金や機密情報の提供を直接メール内で指示します。
フィッシングは、手当たり次第で大量送信を行いますが、ビジネスメール詐欺は事前調査と人間関係の偽装により、成功率を高める精密な攻撃です。また、フィッシングでは偽サイトへのリンクが多用されますが、ビジネスメール詐欺ではメール本文や添付ファイル、あるいはメール返信のやり取りそのもので攻撃が成立します。
ビジネスメール詐欺の最大の特徴は、信頼関係を悪用することです。攻撃者は標的企業のメールのやり取りを傍受したり、過去の公開情報から文面を分析し、実在の人物と同じ文章の書き方・署名・業務内容を模倣するのです。
さらに、送信元アドレスを本物そっくりに偽装します(@company.co.jp → @cornpany.co.jpのように)。
また、本文では正しい送信元に見せかけつつ、返信先(Reply-To)だけを攻撃者のアドレスに差し替える「Reply-To詐称」という手法も用いられます。これにより、受信者は気付かないまま攻撃者とやり取りを続け、送金や情報提供の指示に従ってしまう危険があります。
実際の攻撃パターンを知ることは、防御策を考えるうえで欠かせません。
ここでは、ビジネスメール詐欺がどのように仕掛けられるのか、その典型的な流れやよくあるメール、そして被害がもたらす深刻な影響について解説します。
ビジネスメール詐欺の攻撃は、大きく分けて「情報収集」→「なりすまし準備」→「接触」→「実行」の4ステップで進行します。
・情報収集
:攻撃者は、まずターゲット企業や関係者について徹底的に調べます。
企業の公式ウェブサイト、SNS、官報、取引先のホームページなどから、組織図・役職・メールアドレス・取引銀行・契約サイクルなどを入手します。場合によっては、過去に流出したメールデータやニュース記事も利用します。
「送金権限を持つ人物」と「その人物と日常的にやり取りをしている社員」を特定することが目的です。
・なりすまし準備
:次に、正規のメールアドレスと非常によく似た類似ドメインを取得します。例えば、
・@company.co.jp → @cornpany.co.jp(mをrnに置き換え)
・@company.co.jp → @company-co.jp(ハイフン追加)
など、一目では違いに気づきにくいものを使用します。
さらに、過去のメールの書き方や署名、敬語の使い方まで真似し、自然なやり取りに見せかける準備を整えます。
・接触
:攻撃メールでは、今すぐ対応が必要と感じさせる文言と、上司や役員からの指示に見せかける表現が組み合わされています。
こうして受信者が、今すぐ対応しなければならないと思い込むよう心理的に追い込みます。
・実行
:送金や情報送付が完了すると、攻撃者は直ちに資金を引き出し、口座や連絡手段を閉鎖します。特に海外口座が使われた場合、資金の追跡や回収はほぼ不可能になります。
実際のビジネスメール詐欺では、次のような件名・文面がよく用いられます。
・「至急のご確認依頼」
・「取引先銀行口座の変更について」
・「役員承認済み・至急対応」
・「契約締結に関する機密事項」
多くに共通しているのは、時間的な制約を設けることです。
人は急かされると冷静な判断ができなくなり、さらに経営層や上長からの指示とあれば疑う心理的余裕がなくなります。
また、文面も「通常業務で使う表現」に寄せられており、不自然さが極力排除されているのが特徴です。
被害は金銭面に限りません。直接的な金銭的な損失はもちろん、間接的には信用低下、取引停止、監査コスト増大などの二次被害が生じます。
IPA(独立行政法人 情報処理推進機構)の報告によると、米国での1 件あたりの平均被害額は約 18 万米ドル(日本円では約 2,300 万円)にもなり、非常に大きな脅威であるといえるでしょう。
ビジネスメール詐欺は高度な手口の組み合わせであるため、単一の防御策では不十分です。
技術面での対策、業務フローの見直し、そして社員一人ひとりの意識向上を組み合わせた多層的な防御が不可欠です。
ここでは、企業がすぐに着手できる3つの対策を解説します。
まず取り組むべきは、外部からのなりすましメールを防ぐための技術的対策です。
特に次の3つの送信元認証技術を導入することで、偽装メールが社内に届くリスクを大きく減らせます。
・SPF(Sender Policy Framework)
:送信元メールサーバーのIPアドレスが、送信を許可されたものかを確認します。許可外サーバーからのメールは拒否されます。
・DKIM(DomainKeys Identified Mail)
:電子署名を使って、送信中にメールの本文や件名が改ざんされていないかを確認します。
・DMARC(Domain-based Message Authentication, Reporting and Conformance)
:SPFやDKIMの結果をもとに、受信側がメールを「拒否」「隔離」「許可」するルールを設定できます。
これら3つを組み合わせることで、攻撃者によるドメインなりすましの成功率を大幅に下げられます。
ビジネスメール詐欺の多くは、送金や口座変更の依頼を装って行われます。
そのため、振込に関する業務フローは特に慎重な確認が必要です。
例として、以下のルールを取り入れると効果的です。
・振込先口座の変更は、必ず電話など別の通信手段で取引先に直接確認する。
・一定金額以上の振込には、必ず複数人による承認を求める。
・突然の送金依頼は、上長や経営層の承認なしで処理しない。
こうした多段階のチェック体制によって、メールだけのやり取りに依存する危険性を下げられます。
ビジネスメール詐欺の標的は経理担当者や役員だけではありません。
営業部門や総務、人事など、社内のあらゆる部門が狙われる可能性があります。
全社員が次のチェックポイントを共有し、定期的な訓練を行うことが重要です。
・送信元アドレスが正しいか、似た文字や異なるドメインが混ざっていないかを確認する。
・返信先アドレスが送信元と同じかを確認する。
・不自然な言い回しや翻訳調の文章に注意する。
・「至急」「本日中」など、異常に急かす文言があれば警戒する。
・少しでも不審に感じたら、すぐに上司や情報システム部門に相談する。
さらに、近年では社内で模擬的なビジネスメール詐欺メールを送信し、誤ってクリックや返信をしないトレーニングを行う企業も増えています。このような実践的な訓練は、実際の攻撃への対応力を高める効果があります。
ビジネスメール詐欺は人間の判断の隙を突く犯罪であり、技術面で完全に封じ込めることは困難です。そのため、技術・業務プロセス・人材教育の三本柱で対策する必要があります。
ビジネスメール詐欺は、一度の被害で企業の存続に関わる重大な損害をもたらす可能性があります。日々の業務の中で、メールの送り主を疑う習慣を持つことこそ、基礎的でかつ最大の防御策ともいえるでしょう。
