2017年末に、JALが詐欺メールに騙されて3億8000万円もの振込を不正口座にしてしまったというニュースが流れました。
あまりにも高額な被害ゆえに、かなり話題になったのですが、このニュースを聞いて「どうしてそんな大企業が簡単に騙されてしまうんだろう。担当者がダメすぎるんじゃないか・・」と感じた方も多いのではないか、と思います。
ホントにそうでしょうか・・・。

この不正送金をさせたメールのことを「Buisness Email Compromise(ビジネスメール詐欺)」の略で「BEC」と呼ばれています。
過去にも多くの企業がBECの被害にあっており、アメリカFBIの発表によると2013年から3年弱の間に31億ドルもの被害が出てしまっているとのこと。JALのような巨額な被害も多く、犯罪者から見れば「楽に儲かる」ということで、どんどん増加傾向にあります。今回日本での巨額なBECの成功例が報じられたことで、日本企業をターゲットにしたさらに多くのBECが増加していくのではないか、と懸念されています。

パスクリ通信を読んでいる皆さんが直接ターゲットになる可能性も無くはないのです。特に、総務や経理を担当している方はご注意を!
自分には直接関係なさそうだとしても、ネットの脅威のひとつとしてちゃんと知っておくことは大切です。

ということで今回はこのBECについて書いてみたいと思います。

ネットワークの脅威のうち、ウイルスなどマルウェアに関しては、ソフト的に対策しておくことができるのですが、BECが問題なのは、機械的なセキュリティ対策では防げない、という点です。
相手を騙す手口はいろいろありますが、BECにはいくつかの特徴というかポイントがあります。

1)財務や経理担当者が狙われる
BECの目的の多くは不正送金をさせるもので、通常で送金業務をしていない相手を狙うと、怪しいだけなので、実際に送金を担当している部署や役職などがターゲットになるケースが大半です。

2)送信元はターゲットから信用されている人
送金を指示するときに、相手を信じ込ませるために、ひとつは社内の関係者(同僚や上司)などを偽装して命令する場合と、社外の取引先や会計士、弁護士などの送金に関係のある相手を偽装する場合があります。
いずれも常日頃から関係のある相手の名前を使ってBECを送信する場合が多いので、騙されてしまいやすいのです。

3)メール内容や送信元が実際に即している
騙される原因の一番大きなポイントがここです。送金は、いつも送金している口座からの変更を連絡するようなものが多く、疑われにくいような、いかにも本当の連絡にみせた内容になっているので騙されやすい点が特徴です。
個人にばら撒かれる架空請求のようないかにも嘘くさい内容なら当然疑わしいと思うのですが、第三者が知らないはずの取引情報に即した内容のメールだから困るのです。
この「疑わしくない内容」を作るという点では、何らかの方法で通常の取引に関するメール等のデータを犯罪者が掴んでいる可能性があります。なので、BECの準備段階として標的型攻撃やマルウェアなどで情報を不正に引き出したり、社内のPCや、メールサーバなどが乗っ取られて情報を覗き見られていたりする恐れがあります。

4)添付の書類の書式なども本物同様
上記3) と同じ流れですが、請求書などの添付書類が通常の書式と同じように偽造されているものだったりすることもターゲットが騙される要因のひとつになっています。

5)処理を急がないと間に合わないタイミングで送りつける
冷静な判断をする暇を与えないように、終業時間間際とか金曜日とか、すぐに送金しないと間に合わないというタイミングを見計らって、「緊急を要する送金」としてBECを送りつけてきます。十分な確認を行う時間を与えないようにして、詐欺の成功率を高めるように図っているのです。

このように、BECは「いつもやり取りしている相手から、普段の内容に即した不自然な感じがしないメール内容。添付の請求書などの書類も普段の書類と書式なども同じ。」と、上手く偽装してくるので、担当者も騙されてしまうのです。
あなたも、いつもメールをやり取りしている相手から届いた「当事者以外知らない情報」に関するメールを、いちいち本人からのメールかどうか、メールアドレスのドメイン名なども含めて細かくチェックしたりはしていないのでは?
疑わしい何かがない限りは・・・。
そしてそこをまさにBECは突いてくるので、用心深い担当者でも騙されることもあるのです。

ただし最終的にはBECの目的が「犯罪者の指定する口座に変更して送金させる」というゴールである以上、送金先を変えるような指示をするメールに関しては「メールしている相手とメールではない方法(電話等)で確認する」ようにすれば、防げるのではないでしょうか。

BECに騙されないためには、BECの様々な手口やポイントを知っておくこと。
だから情報アンテナはいつも張っておきたいですね。

「せぐなべ」などでセキュリティ情報を入手していくこともすごく大事、ということで・・・。
おあとがよろしいようなので、また来週 (^o^)V