ビジネスメール詐欺とは?最新の手口と実例、対処法を解説
あなたの会社携帯のSMSに「【緊急】システムアプリケーションバージョンアップのお願い」と社長の名前が入っているメッセージを受信しました。
SMS内容は、社内で利用しているシステムに脆弱性が発見されたとのことです。
その後の対応で正しい選択肢はどれでしょうか?すべて選んでください
①総務部からセキュリティアプリを入れるかもという話があり、この件とリンクする内容だったのでクリックした
②社長の名前が入っていたので、メッセージにあるURLをクリックし確認をした
③社長の名前があったが、SMSでの連絡だったため、対応方法についてまずは上司に相談した
④目の前で同僚2人がクリックをしていたが、個人の判断でインストールはできないので、上司に相談した
いかがでしょうか?
正解は
・
・
・
③④です。
「ビジネスメール詐欺」とは、特定の組織や個人へ、経営層や取引先などになりすまし偽メールを送って入金や口座変更等をさせ金銭的被害をもたらすサイバー攻撃です。
ビジネスメール詐欺は年々巧妙化しているため、メールに記載されたリンクは常に警戒をする必要があります。リンクを踏む前に本人や上司に直接確認するなど、対応を心がけましょう。
情報セキュリティ分野に精通したサービス「Coach Mamoru」
ビジネスメール詐欺とは何かわかりやすく解説
ビジネスメール詐欺とは、経営層や取引先になりすまして偽のビジネスメールを送信し、お金をだまし取るサイバー攻撃のことです。この詐欺は本物のメールと見分けがつきにくく、緊急性を装うため、担当者がだまされやすい特徴があります。巧妙な手口が多く、大企業が億を超える被害に遭っている点も社会問題として話題です。
攻撃者は、目的とする企業の取引先のメールを傍受したり、SNSから情報を収集したりして詐欺の準備をします。被害に遭う日本企業が増加しており、警戒を強める必要があるでしょう。警視庁も怪しいメールに対する注意喚起を行っており、十分なセキュリティ対策の施策が重要です。
詐欺を行うために必要な情報をメールから搾取する手法で、経営層になりすまし、偽造した請求書を社員に送付します。巧妙な手口が多いため、焦った担当者が振り込んでしまい、莫大な被害を受けたケースもあるようです。決定権のある社外の第三者になりすますため、見抜くことが難しい詐欺だと言われています。
ビジネスメール詐欺の手口とは?
ビジネスメール詐欺の手口は、大きく分けて以下の3パターンです。
- 盗んだメールアドレスを使用する
- 偽の取引先になりすます
- 経営者や上層部になりすます
それぞれ紹介していきます。
盗んだメールアドレスを使用する
主なビジネスメール詐欺の手口は、サイバー攻撃で第三者のメールアドレスをハッキングして手に入れ、詐欺を行う方法です。この手口では、攻撃者はまず正規のメールアカウントを盗み、偽の指示を出します。例えば、振込先口座の変更した内容のメールを送り、振込先を自分の口座に変更させるよう仕向けるのです。
この手口が危険なのは、メールが正規のアドレスから送られているため、受け取った相手が本物のメールだと信じやすい点にあります。過去に取引がある相手からのメールであれば、疑うことなく偽の請求書を信じてしまう可能性が高いでしょう。実際に、正規のメールアドレスの使用で相手の警戒心を和らげ、詐欺行為に成功しているケースも報告されています。
偽の取引先になりすます
例えば、「今まで使用していた口座が凍結された」などの嘘をつき、メールで新しい振込先口座を指定します。ビジネスメール詐欺は、ハッキングで盗んだ取引先のメールアドレスを使用するため、簡単には見破れません。これは、詐欺師が取引先に偽装して偽の振込先を指示するビジネスメール詐欺の手口です。
この手口では、詐欺師が取引先のメールアドレスを模倣して偽の指示を出し、実際の取引条件と異なる内容で相手を混乱させます。取引先のメールアドレスが本物に見えるため、受け取った側は嘘を見破れません。
海外と取引のある企業を狙い、担当者になりすました犯人が、振込先口座の変更などを指示した事例も報告されています。企業はメールのセキュリティ対策を強化し、詐欺行為に対する警戒を常に持つことが求められています。
経営者や上層部になりすます
詐欺師が経営者や上層部になりすまし、従業員からお金をだまし取る方法もあります。経営者層を装い、従業員の警戒心を緩めやすいです。
例えば、「緊急なので早めに送金してほしい」などと緊急性を強調し、金銭移動を急がせます。
この手口では、詐欺師があらかじめ経営者のメールアドレスを入手し、それを使って偽の振込先を記載したメールを従業員に送ります。急ぎの対応を求められるため、従業員は正常な判断ができなくなり、指示に従って金額を振り込んでしまうことが多いです。
重要な金銭移動の指示があった場合、必ずほかの手段で確認をしましょう。また、従業員に対して詐欺行為に関する教育が求められます。
【2024年最新】ビジネスメール詐欺の実例を紹介
2024年最新版のビジネスメール詐欺の実例は、以下のようなものがあります。
- 【被害額2億円】株式会社スリー・ディー・マトリックス
- 【被害額5億円】株式会社東芝
- 【被害額3.8億円 】日本航空株式会社(JAL)
それぞれ3社の実例を紹介します。
【被害額2億円】株式会社スリー・ディー・マトリックス
「株式会社スリー・ディー・マトリックス」は、東証グロースに上場している医療製品メーカーです。最近、この会社はビジネスメール詐欺の被害に遭い、約2億円を失いました。
事件の流れは、取引先をかたったメールを受け取り、支払先の銀行口座を偽の口座に変更するように依頼されたところから始まります。これに応じて約86万ドル(約1億円)を支払ってしまいました。その後、別の取引についても同様に偽のメールを受け取り、約50万ドル(約7000万円)を支払ってしまったのです。結果、合計で約136万ドル、日本円で約2億円の被害となりました。
この詐欺の手口は非常に巧妙で、詐欺師は取引先になりすまして、従業員に対して緊急の金銭移動を要求しました。現在、外部の専門調査会社と協力して調査を進めていますが、犯人の特定には至っていません。
【被害額5億円】株式会社東芝
2022年7月、「株式会社東芝」のアメリカの子会社が約5億円のビジネスメール詐欺の被害に遭いました。この子会社は、東芝の経営幹部を装った人物からの指示を受け、7月14日と15日に合計で約5億円を香港に送金してしまったのです。
この出来事により、子会社は被害額を第2四半期の損失として計上する方針を示しましたが、経営への影響は軽微だとしています。東芝は10日に開かれた決算会見で、非公開化を含む大規模な出資受け入れのためのコストが増加したことも発表しました。証券会社などに支払う費用が当初予定の100億円から130億円に増えたのは、手間やコストが予想以上にかかったためだと説明しています。
この事例は、経営幹部を装った詐欺の危険性を示し、企業が常に警戒を怠らないことの重要性を教えてくれます。
【被害額3.8億円 】日本航空株式会社(JAL)
日本航空株式会社(JAL)は、2017年に2件のビジネスメール詐欺の被害を受けました。
1件目の詐欺では、貨物事業所の地上業務委託料約2400万円を詐欺メールに指定された偽の口座に送金してしまいました。担当者は、メールにだまされて普段と違う口座にお金を送ってしまったと話しています。
2件目の詐欺では、詐欺師は支払先の担当者になりすまし、旅客機のリース料の請求を装った偽の請求書をJALに送りました。担当者は、リース機の支払い遅延による使用停止を恐れ、約3.7億円を偽の口座に振り込んでしまったのです。
この請求書は本物にそっくりで、サインもされていたため、担当者は疑いませんでした。これらの詐欺により、JALは合計で約3.8億円の被害を受けています。
ビジネスメール詐欺の対処方法
ビジネスメール詐欺の対処方法は以下の5つです。
- やり取りのない取引先・経営層からのメールを開かない
- 不審なリンクや添付ファイルを開かない
- 送金について社内ルールを作る
- セキュリティソフトを定期的にアップデートする
- IDやパスワードを正しく管理する
それぞれ詳細を紹介します。
やり取りのない取引先・経営層からのメールを開かない
普段やり取りのない取引先や経営層からのメールには注意が必要です。なりすましメールは、一文字だけ変更されたアドレスで送られることが多く、見破るのが難しい場合があります。例えば、アドレスの「0(ゼロ)」を「O(オー)」と変えられると、偽物だと気付きにくくなります。
メールが本物かどうか確認するには、以下のポイントに注意しましょう。
- メールアドレスが普段の取引相手のものと同じか
- 文章に不自然な点がないか
- メールの内容に心当たりがあるか
取引先の担当変更や社長からの突然のメールは、注意が必要です。怪しいと感じた場合は、メールを開かずに、直接相手に電話やチャットツールで確認をしましょう。自分で判断するのが難しいときは、同僚や上司にも確認してもらうと安心です。
不審なリンクや添付ファイルを開かない
メール内のリンクや添付ファイルには注意が必要です。たとえ信頼している取引先や自社の社長からのメールでも、不用意に開いてはいけません。リンクをクリックしたり、添付ファイルを開くことで、ウイルスや不正プログラムが送り込まれる可能性があります。これにより、個人情報や会社の重要なデータが流出する危険があります。
面識がない送信者からのリンクやファイルは開かず、すぐに削除をしましょう。また、詐欺メールには、不自然な言い回しや急を要する内容が含まれていることが多いため、注意深く確認しましょう。疑わしい場合は、別の方法で送信者の意図を確認してください。これにより、ビジネスメール詐欺の被害を防げます。
送金について社内ルールを作る
ビジネスメール詐欺から会社を守るため、送金や機密情報の取り扱いに関する明確な社内ルールを設けることが重要です。例えば、送金や情報共有の前に上長の承認を得るステップの導入をおすすめします。これにより、一人で判断する状況を避け、冷静な対応が可能になるでしょう。
詐欺メールは多くの場合、緊急性を強調してきます。そのため、担当者一人では適切な判断が難しいため、複数人のチェックによりリスクを軽減できます。
また、従業員全体のリテラシー向上も欠かせません。定期的な研修を通じて、詐欺の手口や対策を学ぶ機会を設けましょう。こうした取り組みにより、従業員一人ひとりが詐欺のリスクを認識し、適切な対応ができるようになります。
セキュリティソフトを定期的にアップデートする
ビジネスメール詐欺から会社を守るには、セキュリティソフトの導入と定期的なアップデートが効果的です。最新のOSとセキュリティソフトの使用で、最新の脅威に対応できる体制を整えられます。
特に、マルウェアやフィッシングメールに強いソフトを選ぶことが重要です。これらのソフトは、不審なメールを自動的にフィルタリングする機能を持っているため、危険なメールが従業員の目に触れる前に排除できるでしょう。
また、セキュリティソフトはさまざまなサイバー攻撃からも会社を守ります。ただし、ソフトの導入だけでなく、定期的なアップデートが大切です。
このように、技術的な対策と人的な対策を組み合わせることで、より強固なセキュリティ体制を構築できます。
IDやパスワードを正しく管理する
ビジネスメール詐欺から会社を守るには、IDとパスワードの適切な管理が不可欠です。多くの被害は、メールアカウントが奪われる被害から始まります。そのため、複雑なパスワードを設定し、定期的に変更するなど、アカウントの安全性を高める対策が重要です。
ただし、パスワード管理だけでは十分ではありません。多要素認証を導入し、セキュリティをさらに強化できます。
また、会社のデバイス管理を厳格にする工夫も効果的です。許可された端末からのみログインを可能にするなど、アクセス制御を強化しましょう。
これらの対策を組み合わせ、社内ルールとして徹底すれば、アカウントの乗っ取りリスクを大幅に減らせます。
情報セキュリティ分野に精通したサービス「Coach Mamoru」
ビジネスメール詐欺は、個人や企業に甚大な被害をもたらす詐欺手法の一つです。最近の事例では、東芝やJALなどの大企業が被害に遭い、億を超える被害額を出しています。
ビジネスメール詐欺の被害を最小限に抑えるためには、企業のセキュリティ対策が不可欠です。トラブルを未然に防げるよう、緊急時マニュアルの整備や従業員のセキュリティ教育を行いましょう。
日本パープルが提供するCoach Mamoru(コーチマモル)は、ビジネスメール詐欺対策を含む情報セキュリティ分野に精通したコンサルティングサービスを提供しています。300社以上のコンサルティング実績を持ち、見過ごされがちなリスクについて、的確な提案と対応が可能です。
セキュリティに関する不安をお持ちの場合は、ぜひお気軽にご相談ください。
