ビジネス詐欺メール（BEC）の手口：セキュリティ強化塾（1/3 ページ）

1通のメールで3億円超をだましとられる事件が国内企業でも発生した。「ビジネス詐欺メール」はもはや対岸の火事ではない。

[キーマンズネット]

　2017年12月、注目すべきセキュリティ事故があった。日本航空（JAL）における「ビジネスメール詐欺」の発生だ。報道によれば被害総額は約3億8000万円。これほどの損害が数通のメールで発生したのだ。今回は、ビジネスメール詐欺の手口を学び、その背景にある「脆弱（ぜいじゃく）性」対策としたい。

「メール1通で3億6000万円が奪われる」という衝撃

　2017年9月、JALは取引先からの請求に従い、旅客機リース料3カ月分に相当する325万ドル（約3億6000万円）を支払った。これは普段から行っている業務と同じものだったが、今回に限っては1つだけ違う点があった。

　入金の直前、「訂正版の請求書」が届いたのだ。それに従い、新たに指示された銀行口座に振り込みを行ったところ、しばらくして正規の取引先から振り込みがないことを指摘される。ここにきてJALは詐欺にあったことに気付いた。さらに調べてみると、以前にも貨物事業所における地上業務委託料の請求で同様の詐欺があったことが分かり、被害総額は約3億8000万円にも達した。

　この事件は国内でも大きく取り上げられた。だが、「あの大企業でさえ『振り込め詐欺』に遭ったのか」と捉えるのでは事件を矮小（わいしょう）化してしまう可能性が高い。振り込め詐欺といえば、手当たり次第に電話をかけ「オレだよ、オレ」と口八丁手八丁でだますイメージがある。

　しかし、JALがやられた詐欺は「ビジネスメール詐欺（Business Email Compromise：BEC）」と呼ばれる企業をターゲットにしたサイバー攻撃だ。企業の特定部署をターゲットにし、「標的型攻撃」のノウハウも組み合わせて仕掛けられるBECは、振り込め詐欺対策の知識だけでは多くの人がだまされてしまうレベルにある。

　BECは、既に海外では大きな問題として取り上げられている。トレンドマイクロの調査によると、2016年には既に世界各所でビジネスメール詐欺が発生している。被害規模には数十億円レベルのものが含まれ、とても無視できるものではない。

図1　2016年に発生したビジネスメール詐欺（出典：トレンドマイクロ）

• ※1：http://www.bbc.com/news/business-35250678
• ※2：http://www.crelan.be/sites/default/files/COMM/presse/pb_01-2016_nl.pdf
• ※3：http://www.facc.com/en/News/News-Press/EANS-Adhoc-FACC-AG-FACC-AG-Victim-of-cybercriminal-activities
• ※4：http://krebsonsecurity.com/wp-content/uploads/2016/01/Ameriforge-DE1-Plaintiff.Original-Petition.pdf
• ※5：https://oag.ca.gov/ecrime/databreach/reports/sb24-60402
• ※6：https://d3gx8i893xzz0e.cloudfront.net/fileadmin/corporate/press/releases/2016/2016-09-14_proof_of_publication.pdf?1473855508

　JALのような大企業でなくとも、BECは全ての企業がターゲットとなり得る。そして、金額の大きさによっては、最悪の場合、倒産に追い込まれる可能性も高い。2018年最初のセキュリティ強化塾は、ビジネスメール詐欺の手口を学び、対策を考えてみたい。