BEC(ビジネスメール詐欺)
BEC(Business E-mail Compromise)とは、企業内の関係者や取引先になりすまし、偽の電子メールを送り付け、従業員を騙して攻撃者の用意した口座へ送金させる詐欺の手口。「ビジネスメール詐欺」ともいう。米国連邦捜査局(FBI)によると、世界でも年々その被害は増加傾向にあり、BECの脅威がより深刻なものになっている。
BECは、メールの文面だけでターゲットを心理的に誘導して詐欺を行う。ランサムウェアなどのマルウェアを送りつけるサイバー攻撃とは違い、信頼関係を悪用した攻撃が特徴だ。騙す相手によって、主に2つのパターンに分類できる。
・取引先との請求書の偽装
請求書を偽装・改ざんして担当者へ送信し、不正口座に金銭を振り込ませる手口。「請求書に誤りがあった」「振込口座が変わった」などの文言で巧妙に騙す。
・経営者や企業幹部へのなりすまし
事前に企業の幹部や経営者のメールアドレスを調べて、酷似した文字列のメールアドレスで従業員に偽メールを送りつける手口。窃取したメールアカウントを悪用することもある。
BECの被害に遭ってしまった場合は、速やかに送金のキャンセル・組み戻し手続きをする。攻撃者が偽口座から出金する前に手続きできれば、返金される可能性がある。また、偽メールや送られてきた請求書は警察などに提出できるように保存し、どのような経緯でメールが送られてきたかなどをまとめておく。自組織はもちろん、取引先の担当者へも連絡し、社内外へ注意喚起を行うことも重要だ
BECの手口は年々巧妙になっていて、システムやセキュリティソフトによる機械的な防御は難しい。企業は従業員全体でBECについてよく研究し、多層防御の考えに基づき、適切な対策を講じる必要がある。
(青木逸美)