コラムアーカイブ

◆BECとは

ビジネスメール詐欺（Business E-mail Compromise、略してBEC）は、取引先や経営者などに成りすました偽の電子メールを企業や組織に送り付けて、従業員をだまし、金銭を詐欺師の用意した口座へ送金させる詐欺の手口です。「口座が変更になった」「至急振り込みが必要」など言葉巧みに送金させるように誘導します。

2022年の米国連邦捜査局（FBI）の発表によると、米国でも被害総額が年々右肩上がりで拡大していて、1件あたりの平均被害額は日本円で約2,300万円であると報告しています。2019年にJPCERT/CCが実施した国内企業12社を対象にした調査では、不正な請求額の合計は（被害に至らないケースを含め）当時約24億円であったと報告しています。

IPAでは、取引先をかたるパターンと、経営者をかたるパターンに分類して、具体的にどのようなケースがあるか紹介しています。一般的に、どちらのパターンでも、海外の取引先や海外の関連会社など海外のステークホルダーをかたるパターンが多くありますので、海外でのビジネス展開や海外との取引をしている企業や組織は、BEC対策の重要性は高く、従業員への注意喚起は定期的に実施すべきと言える状況にあります。

もちろん、海外ビジネスに関係ない企業でも注意が必要です。IPAのBECレポートでもJPCERT/CCの調査でも日本語での詐欺が報告されていると伝えています。

◆巧妙化しているBECについて知っておくこと

IPAのBECレポートでは、さまざまな言葉巧みなアプローチや偽物と気づくことが難しい偽メールアドレスの例、電子メールの返信先や転送先を指定する機能を使った巧妙な手口など、BECの事例や手口について説明しています。基本的な対策の一つとして、取引先とメール以外の方法で要求が正しいか確認することを挙げています。

注目したいのは、取引にかかわるメールのやりとりを盗み見している可能性があると説明している点です（IPAのBECレポートP.12参照）。一部の事例では、実際にメールアカウントに対して不正に操作した手口を確認していて、ウイルスやメールアカウントへの不正アクセスによってメールアドレスが乗っ取られていたと考えられています。

この巧妙な事例から我々は、BEC対策に関して以下の2点を考慮しておくべきです。

①乗っ取られた正規のメールアドレスから自分に詐欺メールが届く場合がある
②自分のPCやメールアカウントが乗っ取られ詐欺に加担させられる場合がある

特に、②の場合、詐欺師に乗っ取られたアカウントを使って自社をかたられ、他社が被害に遭ったとなると、自社に責任が及ぶ可能性があります。最悪の場合、自社のセキュリティ対策の甘さが被害の原因として他社から損害賠償を求められる可能性があると認識しておくべきです（IPAのBECレポートP.14参照）。

企業や組織において大きな脅威であるBEC。この対策について整理すると、詐欺の手口を従業員に啓発して、BECと疑われるメールが届いたらメール以外の方法で本物か確認させることはもちろん、詐欺師のウイルスに感染しないためにウイルス対策の徹底や強化、従業員のメールアカウントが不正アクセスに遭わないためにフィッシング対策などの対策も必要になります。

さらに、BECへのその他の対策や、実際に被害に遭った場合の対応（送金キャンセル、捜査、賠償問題など、）についても、IPAのBECレポートの後半P.16以降に記載されていますので、企業や組織のセキュリティ担当者や送金業務の担当者はぜひご確認ください。

JPCERT/CCもBECの実態調査のレポートを2020年3月に公開しています。被害組織に確認した実態と統計が掲載されていて参考になります。そちらもご参照ください。

参考：

IPA「ビジネスメール詐欺（BEC）対策特設ページ」
https://www.ipa.go.jp/security/bec/index.html

JPCERT/CC「ビジネスメール詐欺の実態調査報告書
https://www.jpcert.or.jp/research/BEC-survey.html

NISC「小さな中小企業とNPO向け情報セキュリティハンドブック」
https://security-portal.nisc.go.jp/blue_handbook/