この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
JPCERTコーディネーションセンター(JPCERT/CC)は2020年3月25日、ビジネスメール詐欺(Business Email Compromise:BEC)に対し脅威の動向や変遷を踏まえ、組織がとるべき行動などをまとめた「ビジネスメール詐欺の実態調査報告書」(以下、報告書)をWebサイトで公開した。
BECとは、取引先などになりすました電子メールを送って送金を促す詐欺行為のこと。2017年以降、独立行政法人情報処理推進機構(IPA)や警察庁などが、BECに関する情報を公開し、注意を喚起している。2018年には日本語のBECが確認されている。
この状況を踏まえ、JPCERT/CCはBECに関するアンケートやヒアリングを2019年7〜11月に実施。日本貿易会や石油化学工業協会など、12の組織から得た117件の回答と、その中の6組織に訪問し、ヒアリングした内容を盛り込んだ。
報告書では、IPAが定義する「ビジネスメール詐欺の5つのタイプ」を基にBECを分類している。
調査では「1.取引先との請求書の偽装」に該当する事案が最も多く、全体の約75%を占めた。実際の取引で用いられる請求書が改ざんされ、BECに用いられた事案もあったという。事案ごとに添付ファイルの有無と、ファイル形式や作成日時を尋ねたところ、添付ファイルの形式はPDFが9割を占めており、作成には無料の変換ソフトや変換サイトが多く使用されていたことが分かった。
改ざんされた請求書は、請求内容に不自然な点があるなど、注意深く確認すると被害を未然に防ぐことができる場合があるという。
また、偽装請求書に挿し替える際などに、振込先口座の変更理由として添えられていた例を紹介している。
<口座変更理由>
「ビジネスメール詐欺の5つのタイプ」のうち、次いで多かったのは「2.経営者等へのなりすまし」だ。CEO(最高経営責任者)やCFO(最高財務責任者)へのなりすましや、一度の攻撃で攻撃者が秘書と経営者の2人を演じたケースもあったという。
被害額の調査では、被害の有無にかかわらずBECによる不正な請求額の合計は、日本円換算で約24億円。
被害に遭った場合も一部のケースでは、送金先口座の凍結により口座残高に応じた配分を受けられたり、犯罪保険による求償により被害額を取り戻したりすることができた場合もあったという。
被害を回避できた理由については、以下の3つを挙げている。
特に「1.メールのやりとりの中でBECと気付いた」ケースが最も多く、不審な点を感じた時点でメール以外の電話などの連絡手段を用いて相手先に確認を取り、被害を回避している。
Copyright © ITmedia, Inc. All Rights Reserved.