サイト内の現在位置

ビジネスメール詐欺について

NECセキュリティブログ

2024年9月13日

NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの郡司です。

米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)は2024年3月、インターネット犯罪レポート(Internet Crime Report)の最新版(2023年版)を発表しましたPDF[1]。これはIC3に報告されたサイバー犯罪の被害届を毎年レポートとしてまとめているもので、2023年に被害額の多かったサイバー犯罪の1位は投資詐欺、2位はビジネスメール詐欺、3位は技術サポート詐欺であったとのことでした。ビジネスメール詐欺については同レポートの2021年版と2022年版では1位であり、今回は2位になったものの依然として多くの被害が出ている犯罪と言えます。また情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」でも組織向け脅威として「ビジネスメール詐欺による金銭被害」が7年連続でランクインしておりnew window[2]、日本でも注意が必要なサイバー犯罪の一つです。そこで今回のブログではビジネスメール詐欺についてまとめてみたいと思いますが、単に「ビジネスメール詐欺」と呼ぶと「メールだけで完結する詐欺」のような印象を受けます。ビジネスで使われるコミュニケーション手段の変化に合わせて、最近ではメール以外の手段(チャット、音声、ビデオなど)を用いたり、それらをメールと組み合わせたりする手法なども出てきていますので、別の呼称(たとえば「ビジネスコミュニケーション詐欺」など)があると良いかもしれませんね。

目次

ビジネスメール詐欺とは

ビジネスメール詐欺とは、ある組織の取引先や役員などになりすまし、その組織の金銭等を扱う担当者と偽のメールをやりとりすることで、攻撃者の用意した口座へ送金させるなどして金銭をだまし取る詐欺の手口です(後述しますが、メール以外の手段を用いることもあります。手段はどうあれ「ビジネス上のやりとりによって、被害者を騙して口座に送金させる」詐欺を、本稿では総称して「ビジネスメール詐欺」と呼びます)。先ほどもご紹介しましたIC3のInternet Crime Report 2023PDF[1]によると、2023年にIC3に報告されたビジネスメール詐欺の苦情は21,489件、被害総額は29億米ドルに及んだそうで、これは2023年に報告のあったサイバー犯罪に関する金銭的損失のうち24%を占めるものだそうです。同レポートでは同様に2023年に報告されたランサムウェアの苦情件数は2,825件、被害総額は5,960万米ドルであったとしています。この金額にはシステム復旧や機会損失などの金額が含まれていないとしているため単純には比較できないものの、被害総額だけを見るとビジネスメール詐欺の被害総額は(最近よく話題になる)ランサムウェアの被害総額を上回る規模であるとも言われています。また日本でも日本国内におけるビジネスメール詐欺による金銭的被害はランサムウェアによる金銭的被害に引けを取らないとの調査結果new window[3]もあります。このようにビジネスメール詐欺はランサムウェアほど報道されないためあまり目立たないものの、注意すべきサイバー犯罪の一つと言えるでしょう。

ビジネスメール詐欺の種類

IPAによると、ビジネスメール詐欺の種類としては、おもに2つのパターンに分類できると記していますnew window[4]。ひとつは「取引先になりすます」パターンで、もうひとつは「経営者や役員になりすます」パターンです。

「取引先になりすます」パターンとしては、攻撃者が取引先になりすまし、送金先を攻撃者の用意した口座に差し替えた偽の請求書を送ることで、被害組織の取引担当者から攻撃者の口座へ送金させるというものになります。また偽の請求書を送るのではなく、口座が変わったので送金先を変更してほしいと被害組織の取引担当者に依頼するケースもあります。

次に「経営者や役員になりすます」パターンとしては、攻撃者が自社の経営者や自組織の役員などになりすまし、その組織の役員や経理担当者などの従業員に攻撃者の口座へ送金させるというものになります。また(社長の代理人などの)弁護士や法律事務所といった社外の権威ある第三者へなりすまし、被害組織の財務担当者などに対して、攻撃者の用意した口座への振り込みをさせるといったケースもあります。

ビジネスメール詐欺の手口

攻撃者がビジネスメール詐欺を行うためには、何らかの手段で送付先のメールアドレスを入手することと、そのメールアドレスに対してなりすましメールを送付する必要があります。

なりすましメールの送付先については、攻撃者が詐欺行為の準備として、企業の公開情報などからメールアドレスを入手するほか、ソーシャルエンジニアリングや情報を窃取するウイルスを悪用し、企業内の従業員などの情報を調査するといった手法があります。

なりすましメールの送付方法としては、似たようなドメインを取得してそれを利用する、フリーメールを利用するなどのほか、Fromを詐称する、本物の(正規の)アカウントを何らかの手段で乗っ取って、過去のやり取りからメールの送付先を見極めるといったことも考えられます。なので、たとえ本物のアカウントから送られてきていたとしても、詐欺の可能性もあることは意識しておく必要があります。

乗っ取られた本物のアカウントから送られてきたビジネスメール詐欺の事例として、2022年5月に逮捕された、日本を含む世界中でビジネスメール詐欺に関与していたとされる容疑者3名が使用していた手口new window[6]をご紹介します。攻撃者はまずインターネット上などから企業の公開情報を調査し、メールアドレスを収集します。次に攻撃者はフィッシングサイトを用意し、収集したメールアドレスに対してスパムメールでフィッシング攻撃を仕掛けます。被害者がフィッシングサイトにアクセスすると、マルウェアに感染して被害者の個人情報や資格情報が搾取されます。攻撃者は窃取した資格情報で被害者のメールシステムに侵入し、過去のメールなどを読み、請求書の添付されたメールなどを見つけ、請求書の振込先を攻撃者の振込先に変更したメールを被害者の取引先に送ることで振り込め詐欺を行ったとのことでした。過去のメールなどを丹念に読まれた上で、乗っ取られたアカウントなので本物の発信先からメールが送られてくることになりますので、被害者の取引担当者はよほど注意しない限り騙されてしまうのではないでしょうか。また攻撃者は乗っ取ったアカウントに転送設定を行い、攻撃者が攻撃に利用したメールを(乗っ取った本人には)見えないようにすることもあるため、乗っ取られた本人は攻撃の踏み台に利用されたことに気づくのが遅れることもあることには注意が必要です。

ディープフェイクを利用した事例

一般的なビジネスメール詐欺の事例は先ほどご紹介したもののほかIPAにていくつか紹介されていますnew window[5]のでそちらをご参照いただければと思いますが、ここではそれ以外の事例として、ディープフェイクで生成した音声やビデオを利用した事例を見てみたいと思います。

AIによるディープフェイク音声を使った事例

まずご紹介するのが、メールではなく電話が使われていますので厳密にはビジネスメール詐欺ではないのですが、2019年3月に英国のエネルギー会社に対して行われた、AIを使って生成されたディープフェイク音声による事例new window[7]です。

攻撃者は英国のエネルギー会社の最高経営責任者(CEO)に対して、音声生成AIソフトウェアを使ってドイツの親会社のCEOの声を真似して、ハンガリーのサプライヤーに緊急に送金するよう要求しました。AIで生成されたドイツの親会社のCEOを騙った音声は違和感のない自然なもので、英国のエネルギー会社のCEOはそれを聞いて何も疑わずに22万ユーロ(当時のレートで約2600万円)を(ハンガリーのサプライヤーとされる)攻撃者の口座に送金してしまったとのことでした。これはAIによるディープフェイク音声による詐欺の被害としては初の事例であったと報じられていますnew window[8]

ビデオ会議(ディープフェイク動画)を使った事例

次にご紹介するのが、香港警察が2024年2月に発表を行ったもので、香港で多国籍企業に勤務する会計担当者が、ビデオ会議で最高財務責任者(CFO)を装った相手にだまされて、計2億香港ドル(約38億円)を詐欺グループに送金してしまった事例new window[9]です。

攻撃者はまず被害者の財務担当者に対して、秘密の取引を実行する必要があるという最高財務責任者(CFO)を騙ったメールを送りました。被害者は当初はこのメールを詐欺と疑ったものの、攻撃者はさらに被害者を騙して偽のビデオ会議に参加するよう促しました。被害者がビデオ会議に参加したところ、自分の知っている同僚が出席していたため、そこでCFOの指示も本物であると当初の疑念を捨て、2億香港ドルの送金に同意してしまいます。ところがそのビデオ会議に参加していた出席者全員が、動画や写真を加工して本人のように見せかけるディープフェイクで作り出された偽物の同僚であったとのことで、被害者の財務担当者が事後に会社の本部に確認して初めて、偽のCFOであったことが発覚したとのことでした。

この事例は単純なビジネスメール詐欺に説得力を持たせるためにディープフェイク動画を使ったビデオ会議を悪用した事例と考えられます。生成AIの進化により攻撃者が詐欺のメールの説得力を向上させる巧妙な手法が増加することで、今後は怪しいメールに気が付くのはますます困難になっていくかもしれません。

ビジネスメール詐欺への対策

このように手の込んだ事例も出てきているビジネスメール詐欺ですが、騙されないようにするためにはどのような対策をすべきでしょうか。まずはビジネスメール詐欺への対策の例として、IC3のサイトに掲載されたものnew window[10]を以下に引用します。

  • ウェブベースの無料メールアカウントは利用せず、会社用のドメイン名を取得し、そのドメイン名を利用する
  • ソーシャルメディアや企業のウェブサイトには、職務や組織内の階層関係、不在にする時間などの情報は極力掲載しない
  • 「内密にお願いします」といった要求や、迅速な行動を求める要求に対しては、ビジネスメール詐欺の可能性を疑う
  • 既存の財務プロセスに対して、2段階認証プロセスの実施などを含め、次のようなセキュリティシステムや手順を検討する
    • 請求にかかる重要な手続きの確認のため、メール以外に電話など他の通信チャネルを持つようにする。その際に攻撃者からの傍受を防ぐため、確認はなるべく早く実施する
    • 取引によるメールでのやりとりは、双方で電子署名を使用する
    • 不審なメールを受信した場合、組織内の適切な部署に報告する
      • ウイルスが含まれている可能性があるため、添付ファイルの開封や、メール内のURLなどへのアクセスはしない
    • メールを相手に返信する場合、「返信」ではなく「転送」を選択し、正しいメールアドレスを入力して返信をする
    • 企業のメールアカウントに2要素認証を実装することを検討する
      • 2要素認証とは、当事者しか知りえない情報(パスワードなど)と、当事者しか持たないもの(トークンなど)を使ったものなど
  • 企業間のやりとりで使われていたメールアドレスの変化(個人メールアドレスへ連絡を要求されるなど)が発生した場合、メールだけでなく電話などによって正しい相手であるかを確認する
  • 企業のメールアドレスに似た記号をもつメールアドレスにはフラグを立てるなどの侵入検知システムのルールを作成する
    • 例:abc_company.com という正規のメールアドレスに対して、abc-company.com のようなメールアドレスのメールを着信した場合、不正なメールであるとフラグを立てる
  • 実際の企業ドメインとは若干異なるすべてのドメインをメールフィルタなどに登録する
  • 支払いに係る変更があった場合、組織内の2人以上の署名を必要とするなど、2段階認証を設定する
  • 電話による相手確認を行う場合、メールの署名に記載されている電話番号ではなく、既知の電話番号を使用して確認する
  • 取引相手の慣習、取引にかかる送金の遅延とその理由、支払金額などを把握しておく
  • 送金先の変更などに関するすべての電子メールの要求を注意深く精査し、その要求が正規のものであるかを判断する

少々長いので簡単に要約しますと、「攻撃者に余計な情報を与えない」「怪しいメールの見分け方を周知徹底する」「技術的な対策の導入やダブルチェックなどのルールを設定し、それを徹底する」といった形にまとめられると思います。ビジネスメール詐欺への対策を考える際には参考にしてみてください。

また怪しいメールの見分け方につきましては、IPAが公開している「ビジネスメール詐欺(BEC)の特徴と対策レポート」PDF[11]も参考にすると良いでしょう。

また先ほどもご紹介したとおり、メール以外の手法(音声や動画)を使って騙すといった新たな手法を使ったものが出てきているほか、生成AIを活用して自然な文章・音声・動画のものも出てきています。特に金銭の送受などに関わる業務に携わる方は常に最新の事例などを確認し、被害に遭わないよう十分に注意するようにしましょう。

まとめ

JPCERT/CCによる日本企業を対象としたビジネスメール詐欺の実態調査new window[12]によると、過去の調査では日本企業における事例は英語によるものがほとんどであったそうです。ところが最近では国内でも自然な日本語のビジネスメール詐欺が登場しているため、注意が必要です。またメール(テキスト)だけでなく生成AIを活用して生成した音声や動画などを使ったものも出てきており、最近ではLastPassの従業員を標的とした攻撃事例としてメッセンジャーアプリWhatsAppにてCEO になりすましたディープフェイク音声を使った詐欺も出てきていますnew window[13]。最新の事例などを常にチェックして、怪しいと意識して気が付けるようにしましょう。

参考文献

執筆者プロフィール

郡司 啓(ぐんじ さとし)
セキュリティ技術センター サイバーインテリジェンスグループ

おもに脅威情報を収集・分析し、それを必要とする人に届ける、といった事をしています。主な資格はCISSP、情報セキュリティスペシャリストなど。

執筆者の他の記事を読む

アクセスランキング