ビジネスメール詐欺（BEC）とは何ですか？

毎年、犯罪者たちは何十億もの金を持ち去っています。豪華な美術館や銀行の金庫に押し入るのではなく、適切なタイミングで適切な相手に適切なメールを送ることでです。彼らがそれをどうやるのか、見ていきましょう。

この記事で学べること：

• ビジネスメール詐欺とは実際に何か

• こうした攻撃がどのように実行されるのか、ステップごとに解説

• もっとも一般的な BEC 攻撃の種類

• 3,700万ドル攻撃の実例

• 標的にされる前にビジネスを守る方法

サイバーセキュリティにおけるビジネスメール詐欺とは？

ビジネスメール詐欺とは、信頼している相手になりすました犯罪者が、金を送らせたり機密データを渡させたりするサイバー攻撃です。危険なのは、その忍耐と計画性にあります。攻撃者は何週間もかけて、会社がどのようにコミュニケーションを取り、誰が権限を持ち、いつ攻撃すべきかを学びます。メールが届く頃には、それは知っている相手からの普通のメールに見えます。

ビジネスメール詐欺攻撃はどのように機能するのか？

こうした攻撃には実証済みの定番手口があり、詐欺師は毎回それに従います。

ステップ1 – 標的を見つける

ビジネスメール詐欺攻撃の要点は、もっともらしく見える必要があることです。攻撃者にとって幸いなことに、インターネットは標的候補に関する情報の宝庫です。SNSプロフィールを少し見るだけで、仕事、親しい友人、さらには話し方の傾向まで分かることがあります。これに、今後の会社の動きに関するプレスリリースや企業サイトのプロフィール情報をつなぎ合わせれば、十分に信頼できそうに見えてきます。

攻撃者はそうした情報をすべて収集し、数秒のうちに、本物そっくりの見た目と文面のメールを作成できます。

ステップ2 – 受信トレイに入り込む

メールの内容を本物らしく見せるには、攻撃者はそれを信頼できそうな魅力的な外見で包む必要があります。メールアドレスが信頼できる送信元からのものに見えなければ、詐欺全体はうまくいきません。

攻撃者は、acmecorp.com の代わりに acme-corp.com のような名前を登録して、ドメインを偽装することがあります。あるいは、十分に巧妙であれば本物の受信トレイをハッキングし、本物のメッセージと見分けるのがほぼ不可能な状態にします。

結局のところ、アヒルのように見えてアヒルのように鳴けば、多くの人はそれをアヒルだと思うものです。

ステップ3 – 信頼を築く

こうした攻撃では、忍耐がものを言います。攻撃者はハッキングした受信トレイに何週間も潜み、メールのやり取りを読み、コミュニケーションのスタイルを学びます。最終的にメールが届く頃には、それは過去のメールに自然に溶け込み、会話の調子や流れをそのままなぞっています。

ステップ4 – 要求を出す

攻撃者があなたの話し方、同僚の名前や役職、会社で何が起きているかまで把握し、さらにあなたのメールにうまく入り込んだら、要求が送られます。

通常、それは簡単には取り消せない内容です。銀行口座への送金や、個人情報の共有が含まれることもあります。重要なのは、それが元に戻せないものであることです。 

標的が何かおかしいと気づいた時には、攻撃者にとって被害がすでに発生している必要があります。さらに狡猾であれば、皆の警戒が緩み、成功の可能性が高まる祝祭シーズンに送ることさえあります。

ステップ5 – 跡形もなく消える

資金が送られると、それは一連の中継口座を通じてすばやく移動されます。これらは通常海外にあり、法執行機関にとっても資金の流れを追うのが非常に困難になります。

ビジネスメール詐欺の例

ビジネスメール詐欺は、デジタル攻撃における最後のボスです。通常は 大企業と目を疑うような巨額の資金が関わります。 

2019年、Toyota の主要サプライヤーの1社が、たった1回の送金で数千万ドルを失いました。攻撃者は Toyota Boshoku のメールシステムに侵入しました。彼らはメッセージを読み、会社のコミュニケーション方法を学びました。大きな送金の話が持ち上がった際、資金移動の権限を持つ社内の人物に対し、その送金先の銀行口座情報を更新するよう依頼しました。それは正当なものに見え、資金は送られてしまいました。

まさに一瞬で、3,700万ドルが消えたのです。

ビジネスメール詐欺攻撃の種類

ビジネスメール詐欺の事例は、どれも同じ見た目ではありません。もちろん目的は常に、できるだけ多くの金をだまし取ることですが、その手口は大きく異なることがあります。

CEO詐欺（経営幹部のなりすまし）

これは BEC でもっともよく知られた形です。攻撃者は上級幹部、通常は CEO や CFO になりすまし、経理担当者に資金移動を迫ります。権力関係があるため機能します。上司が何かを求めれば、多くの人は理由を立ち止まって確認しません。そこにもっともらしい背景説明が加われば、深く考えずに行動させるには十分です。

ベンダーのメール詐欺

攻撃者は社内の誰かを装うのではなく、会社の外部にある関係性を狙います。信頼されている仕入先やベンダーを標的にし、既存のメールのやり取りに入り込み、本物の支払い情報を自分たちのものにすり替えます。被害者側から見ると、長年取引してきたサプライヤーからの通常の請求情報更新に見えます。

アカウント乗っ取り

これはもっとも危険な亜種です。なぜなら偽装が一切ないからです。攻撃者は本物のアカウントを使っています。メールは実在するアドレスから送られ、適切な口調も使われます。メッセージは完全に普通に見えます。技術的には実際に普通だからです。

給与振込先の変更

これは会社の資金を狙うものではありません。代わりに従業員を狙います。攻撃者は人事担当者や従業員になりすまし、給与振込情報の更新を依頼して、自分たちが管理する口座へひそかに給与を振り向けます。 

被害者が気づくのは給料日になってからであり、金額が比較的小さく、依頼も普通に見えるため、不正アラートが出ることはめったにありません。これは BEC のよりゆっくりした形ですが、十分な数の従業員が狙われれば、被害はすぐに積み上がります。

BEC とフィッシング – 違いは何か？

フィッシングメールは昔から存在しており、ほとんどの人はどんなものか知っています。賞品が当たったとか、ナイジェリアの王子が助けを必要としているとか告げてくる、あの手のメールです。大量送信され、数の力で誰かの不意を突くことに頼っています。

フィッシングが網だとすれば、BEC は狙撃手です。攻撃者は何週間もかけて1社、時には特定の1人を調査します。メールが届く頃には、それは知っている相手からの火曜の朝のメッセージのように見えます。

フィッシングは通常ログイン認証情報を狙いますが、BEC はその段階を完全に飛ばし、直接金やデータを狙います。

ビジネスメール詐欺攻撃を見抜く方法

BEC 攻撃は普通に見えるよう設計されています。しかし、何を見るべきかを知っていれば、兆候はあります。

• 急かし— 確認して立ち止まる余地を与えず、急いで送金するよう迫るメール。

• 突然の変更 — 仕入先や同僚が、前触れもなく突然支払い情報を更新している。

• ほぼ正しいアドレス — 送信者のメールアドレスが、本物とたった1文字しか違わない。

• どこか不自然な口調— 何かがおかしいと感じる。丁寧すぎる、くだけすぎている、あるいは妙に秘密主義的だ。

• 突然の依頼 — 通常なら別の経路を通すはずのことをするよう求められる。

ビジネスメール詐欺攻撃を防ぐ方法

こうした攻撃の仕組みを知ることは、戦いの半分です。残りの半分は、自社を簡単な標的にしないことです。

電話をかける

メールで送金や支払い情報の更新を求められても、そのメールに返信してはいけません。メールに書かれた番号ではなく、すでに持っている番号を使って本人に直接電話してください。30秒で済み、これができることの中でもっとも効果的です。

二要素認証を有効にする

攻撃者が誰かのログイン認証情報を手に入れても、2FA は受信トレイの完全な乗っ取りを防げます。すべてを止められるわけではありませんが、アカウント侵害を大幅に難しくします。

何が適切かをチームに教える

BEC とは何か、どう機能するのか、危険信号にはどんなものがあるのかについて定期的に研修を行えば、従業員を防御線に変えることができます。

ツールにも一部を任せる

スパムフィルターや SPF、DKIM、DMARC のようなドメイン認証ツールは、BEC の試みがチームに届く前に除外できます。AI ベースの検出はさらに一歩進んでいます。組織内で通常のメール行動がどのようなものかを学習し、不審なものにフラグを立てます。