サイバーソリューションズ
2023年9月15日
「詐欺メールでの金銭トラブルや機密情報の漏洩を防ぎたい」そう考える方は多いのではないでしょうか?ビジネスメールを装ったメール詐欺は、見分けがつきにくくとても巧妙なため、注意していても騙されてしまうケースは非常に多いです。
そこでこの記事では、ビジネスメール詐欺の手口と具体的な対策方法について詳しく解説します。この記事を読めば、詐欺の主な手口や被害の事例から「どんな対策を講じればいいか?」が分かります。
ビジネスメール詐欺とは?
ビジネスメール詐欺とは、取引先や自社の経営者層になりすまし、電子メールから偽の口座に振り込みを促す詐欺です。金銭以外では、従業員の個人情報や社外秘の情報など、漏洩してはいけない社内の大切な情報を盗みます。
なりすましの手法は「メールアカウントを乗っ取る」か「メールアドレスを偽装する」かです。日本国内だけでなく、世界中で被害が報告されている詐欺になります。
ビジネスメール詐欺の実際の詐欺の手口
実際のビジネスメール詐欺には、どんな手口があるでしょうか?代表的な詐欺手口を3つ解説します。
取引先の担当者になりすます
犯人が取引先になりすまし、請求のタイミングを狙って架空の口座が記載された請求書を送る手口です。事前に取引先とのやり取りが盗み見られており、振り込みのタイミングで犯人がなりすましメールを送ります。
メール文章も今までのやり取りから本物に見えるように、口調や文言など工夫されています。そのため、メールを受けた側は詐欺と見抜くことが難しいです。
「今回から指定口座が変更になります」などの突然の口座変更を受けた場合は、注意しましょう。
経営者などの上部の人間になりすます
犯人が社長や社内上層部の人間になりすまし、指定した口座へ送金を指示する手口です。「緊急」や「極秘」などの急かすような文言を記載して送ってくるケースがあります。
上層部の人間から急ぎの対応を指示されるため、なりすましに気づかずに対応してしまいやすいです。また、送られてくるメールアドレスも本物と思われるように、それらしいアドレスに分析・細工されています。
「至急、指定する口座に送金してほしい」などの内容で上層部から依頼メールを受けた際は、対応する前に上長に確認を取るようにしましょう。
弁護士などの権威ある第三者になりすます
弁護士や国際機関などの権威のある社外の人間になりすまし、主に自社の財務担当をターゲットに指定した口座に金銭を振り込ませる手口です。犯人は弁護士になりすまし「法律違反になる可能性があります」などの揺さぶりをかけてきます。
そのため、詐欺の可能性を考えずに慌てて対応してしまうケースが多くなっています。社外の人間から振り込み指示のメールを受けた場合は、上長に報告して先方に電話で確認を取るようにしましょう。
ビジネスメール詐欺を受けた企業の被害事例
ビジネスメール詐欺の被害を受けた2社の被害事例について解説します。
日本航空株式会社(JAL)の事例
2017年12月に偽の請求書メールにより、日本航空株式会社(JAL)は約3億8,000万円の詐欺被害に遭いました。犯人は取引先になりすまし、口座へ振り込むタイミングで詐欺メールを送っています。
メール内容は「香港の銀行口座に支払い先を変更する」という内容でした。本物と同じレイアウトで作成され「訂正版」と記載されていたため、従業員が信じてしまいました。
結果的に旅客機のリース料と地上業務委託料の約3億8,000万円を支払い、詐欺だと発覚したときには、お金は全額口座から引き出されていたため、回収不能となりました。
スカイマーク株式会社の事例
2016年6月にスカイマークへ取引先から約40万円の請求書が届きました。請求書には「指定口座を香港の銀行へ変更する」という記載があり、別の口座へ振り込みを促すものでした。
取引先になりすました詐欺手口でしたが、口座が凍結されていたため、担当者が異変に気づきました。後日、取引先に確認したところ、詐欺メールが発覚し被害を免れました。
ビジネスメール詐欺に対して必要な対策
ビジネスメール詐欺に対して、企業が行える対策方法を5つ解説します。
URLのリンクや添付ファイルを不用意に開かない
メール内に記載されているリンクURLや添付ファイルには注意しましょう。フィッシングサイトやウイルスなどの不正プログラムを送り込まれるケースがあるからです。
パソコンがウイルス感染してしまうと、社員の個人情報や会社の口座番号、パスワードなどが流出してしまうおそれがあります。たとえ長くやり取りしている取引先や自社の社長だったとしても、不用意にリンクやファイルを開かないことが大切です。
IDやパスワードの管理を徹底する
業務に関連するすべてのアカウント情報の管理を徹底しましょう。
| ・第三者に推測されにくい文字列を設定する・パスワードの使い回しはしない・複数で同じアカウントを利用しない |
などの管理方法が考えられます。管理体制を整えて社内ルールとして浸透させることで、アカウントの乗っ取りを防げます。
普段やり取りしていない相手からのメールには注意する
特に取引先の担当変更や、社長や上層部からの突然のメールなどは注意が必要です。なりすましメールには、本来のアドレスを一文字だけ変更して送信しているケースが多くなっています。
例えばアドレスの「0(ゼロ)」を「O(オー)」と記載されてしまうと、偽のメールアドレスだと気付くことは困難です。正しいアドレスだと判断に困った場合は、相手に直接伺うか電話を行って確認しましょう。
送金や機密情報を提供する際のルールを作る
外部への送金や、社内の機密情報を提供する際の社内ルールを作りましょう。具体的には送金や情報の共有を行う前に「上長の確認、承認を得る」などのステップを設けることです。
担当者1人に任せて対応してしまうと、偽メールに気づかずに対応してしまう可能性があります。ビジネスメール詐欺は、緊急を装って送られてくるケースがあるため、1人で冷静に対応することは困難です。
別の方法として「事前にサインや電子署名付きの契約書の発行」を行うと、偽装して作成することが難しいため、なりすましを防げます。
セキュリティソフトを導入する
ビジネスメール詐欺の対策を最も強固にするためには、セキュリティソフトを導入しましょう。ビジネスメール詐欺を行う犯罪者は、システムの脆弱性を突いてくるからです。
OSを最新バージョンにアップデートすることはもちろんですが、セキュリティソフトを導入することで、よりセキュリティのレベルを上げられます。社内ルールによる従業員の意識改善と並行して、万が一ヒューマンエラーが起きた際に、自社の資産や情報が守られる体制づくりが必要です。
セキュリティソフトはCloud Mail SECURITYSUITE (クラウドメール セキュリティスイート)がオススメ
