Management Columnあなたの会社も標的に?急増する「ビジネスメール詐欺」
「お疲れ様です。至急、指定の口座へ送金をお願いします」…もし、信頼している自社の社長や、長年取引のある担当者からこのようなメールが届いたら、あなたはどう対応しますか?
現在、世界中で甚大な経済損失をもたらしている「ビジネスメール詐欺」。
巧妙に作り込まれた偽のメールは、従来の「迷惑メール」とは一線を画す精巧さで、日本国内の企業でも数億円規模の被害が報告されています。今回は、日常の業務に潜むビジネスメール詐欺の正体と、実践すべき防衛策について解説します。
1.ビジネスメール詐欺とは?
ビジネスメール詐欺は、英語でBEC(Business Email Compromise)と呼ばれ、巧妙に仕組まれた偽の電子メールによって多額の資金をだまし取るサイバー犯罪です。
単なる迷惑メールとは異なり、取引先や自社の社長や役員などの実在する経営層になりすますのが特徴です。下調べに基づいた文面で送られてくるため、受信者が疑いを持たずに送金指示に従ってしまい、日本国内だけでなく世界中で甚大な被害が報告されています。
2.巧妙なビジネスメール詐欺の手口
■取引先との請求書偽装(サプライヤー詐欺)
取引先との間で「請求書」や「支払い」に関するやり取りを行っている担当者を狙う手口です。
- [手口の特徴]
- 攻撃者は何らかの方法で事前に取引メールを盗み見て、進行中のプロジェクトや担当者の氏名を把握します。その上で取引先になりすまし、「振込先口座が変更になった」という偽の通知や、口座情報を書き換えた偽の請求書を送り付け、攻撃者の用意した口座へ送金させようとします。
- [主な事例]
-
・海外取引先の担当者を装い、「社内監査により口座が変更された」と偽の請求書が届く。
・自社の担当者を装い、海外の取引先へ「次回の送金からこちらの新口座へ」と偽の依頼メールを送る。
■経営者・役員へのなりすまし(CEO詐欺)
自社の経営層や親会社の幹部になりすまし、従業員に対して直接送金を指示する手口です。
- [手口の特徴]
-
企業の財務・経理担当者など、送金権限を持つ部署などがターゲットにされます。
経営層の名前を騙り、「極秘の買収案件がある」「至急で対応してほしい相談がある」といった心理的なプレッシャーや特別感を演出する文面を使い、確認の隙を与えずに攻撃者の口座へ振り込ませようとします。 - [主な事例]
-
・自社の社長を装い、経理担当者へ「極秘案件の弁護士費用を今すぐ送金してほしい」とメールが届く。
・親会社の役員を装い、子会社の経営層に対して「グループ内の資金移動」を名目に偽の送金指示が出る。
3.ビジネスメール詐欺の被害に遭ってしまった場合
1:金融機関への緊急連絡(送金のキャンセル・組戻し)
攻撃者の指定口座へ送金してしまった場合、一刻を争います。
資金が引き出される前であれば、回収できる可能性があります。
| 銀行への依頼 | 速やかに送金元の銀行へ連絡し、送金のキャンセルや組戻しの手続きを依頼してください。 |
|---|---|
| 海外送金の場合 |
振込先が海外であれば、現地の銀行や警察当局への連絡や相談が必要です。 また、偽口座が米国の場合はFBIやIC3へ通報することも有効です。 |
2:原因調査と二次被害の防止
なぜ詐欺メールに騙されてしまったのか、システム上の侵入がないかを調査します。
| ウイルスチェックとパスワード変更 | 関係者のPCをフルスキャンし、メールアカウントのパスワードを直ちに変更してください。他サービスとの使い回しは厳禁です。 |
|---|---|
| 不審な設定の確認 | メールアカウントに外部への自動転送設定や、不自然なフォルダ振り分けルールが作成されていないか調査します。 |
| 社員への ヒアリング |
不審なメールの開封履歴や、フィッシングサイトへの入力経験、パスワードの使い回し状況などを聞き取ります。 |
3:証拠の保全と時系列の整理
警察への相談や原因究明のために、資料として証跡の提示を求められる可能性があります。
| メールデータの 保存 |
攻撃者から届いたメール本文だけでなく、送信元ルートが判別できるメールヘッダ情報を含めて大切に保存してください。 |
|---|---|
| 時系列の記録 | どのような経緯でメールが届き、いつ送金に至ったのか、事系列に沿って詳細にまとめます。 |
| 最小限の 人数で調査 |
内部犯行の可能性も否定できないため、初期調査は信頼できる最小限の関係者で行うなどの配慮が必要です。 |
4:取引先・関係各所との連携
| 取引先への 調査依頼 |
取引先側にもなりすましメールが届いている可能性があるため、メール受信の有無を確認し、証跡の保存を依頼してください。 |
|---|---|
| 連絡手段の変更 | 攻撃者にメールを盗み見られている恐れがあるため、取引先との連絡は電話やなど、メール以外の手段で行います。 |
5:警察への通報・相談
| 最寄りの警察署へ | 保存したメール資料や時系列の記録を持参し、速やかに通報・相談してください。 |
|---|---|
| 事前の電話予約 | 訪問前に電話で担当者と日時を調整し、持参すべき資料を確認しておくと対応がスムーズに進みます。 |
4.ビジネスメール詐欺から会社を守るための防衛策
ビジネスメール詐欺は、単なるメールの偽装だけでなく、人間の心理や業務の隙を突く巧妙な攻撃です。「自分たちは大丈夫」という思い込みを捨て、組織全体で多層的な対策を講じることが不可欠です。
- 1:徹底した「直接確認」
- [メール以外の手段で確認]
- 振込先の変更や至急の送金依頼が届いた際は、必ず電話やFAXなど別の手段で、以前から知っている担当者へ直接事実確認を行ってください。また、一文字違いなど、本物によく似た偽アドレスの可能性があるため注意が必要です。
- [署名を過信しない]
- メール内の電話番号は偽装の可能性があるため、必ず社内名簿や過去の名刺などの信頼できる連絡先を使用しましょう。
- 2:組織的な「ルール化」と「共有」
- [送金フローの厳格化]
- 複数の担当者によるチェック体制を整え、承認プロセスを徹底します。
- [情報の即時共有]
- 怪しいメールが届いたら、自分一人で完結させずに社内で共有してください。また、日頃から取引先と密に連絡を取り合う体制を作っておくことが最大の防御になります。
- 3:システム・技術による「防御」
- [電子署名等の機能]
- 電子署名を利用して「なりすまし」を防止します。また、第三者の介在を防ぐため、添付ファイルへのパスワード設定も積極的に活用してください。
- [基本の徹底]
- OSやセキュリティソフトを最新状態に保ち、不審な添付ファイルやリンクは安易に開かないという基本動作を徹底します。
5.ビジネスメール詐欺から会社を守るための防衛策
ビジネスメール詐欺の手口は年々巧妙化していますが、その最終的な狙いは常に「人間の心理的な隙」にあります。
どれほど強固なセキュリティシステムを導入しても、最後の一線を守るのは、受信した私たち一人ひとりの違和感と、それを放置しない「本人確認」です。
いつもと違うと感じたら迷わず手を止め、別の手段で事実確認を行う。このシンプルな徹底こそが、大切な自社と取引先を被害から守る最大の防御壁となるのです。
■参考資料
[警察庁]
「ビジネスメール詐欺に注意!」「法人を対象とした詐欺(ニセ社長詐欺)に注意!」
[情報処理推進機構]
「情報セキュリティ」「ビジネスメール詐欺(BEC)の特徴と対策」
