狙った企業は逃さない「ビジネスメール詐欺」、送金先は別の詐欺で盗んだ個人情報を悪用するケースも

　個人を狙ったネット詐欺では引っ掛かった人から少額を騙し取る手法が主流です。一方、企業を標的にする場合は、手間暇をかけて大金を騙し取る傾向にあります。主にメールを利用し、企業の担当者を騙す手口で「ビジネスメール詐欺（BEC：Business Email Compromise）」と呼ばれます。

　アメリカの政府機関でネット関連の犯罪情報を収集している「IC3」（Internet Crime Complaint Center：米国インターネット犯罪苦情センター）によると、2020年に受け取った報告のうち、BEC詐欺やメールアカウントを不正に利用する「メールアカウント侵害（EAC：Email Account Compromise）」の被害は1万9369件で、被害額は18億ドルを超えています。

　2012年ごろにBEC/EAC詐欺が台頭してきたころは、企業のCEOなどになりすまして指定の口座に資金を移動させることが主流でした。近年では標的の標的企業の取引先に偽装し、メールを何度もやり取りして信頼を高めてから、送金を依頼するという手法が見られるようになりました。

　2018年には日本語でのBEC/EAC詐欺も確認されました。この事例では、仮想通貨を購入するための準備と称して、CEOをかたる人物が従業員に国際送金させようとしました。メールの差出人は、CEOが使用する本物のメールアドレスでしたが、機密扱いで送金させようとしたのです。

日本語のBEC/EAC詐欺で使われたメールの文面例（画像はIPAより）

　BEC/EAC詐欺で奪ったお金は追跡されないように仮想通貨に変換されます。2021年4月13日にIC3が発表したレポートによると、現金を仮想通貨に交換する際、盗まれた個人情報が使われているケースが2020年で大幅に増加したそうです。

　本連載で何度も紹介している「セクストーション詐欺」「テクニカルサポート詐欺」「国際ロマンス詐欺」などの手口で、被害者から騙し取った個人情報を悪用するのです。具体的には、個人情報を使って仮想通貨取引所に口座を開き、BEC/EAC詐欺で送金先をその口座に設定するのです。

　BEC/EAC詐欺が成功すれば、口座に送金されますが、その口座にアクセスするのはサイバー犯罪者です。そこで、現金を仮想通貨に変え、自分の仮想通貨を保管しているウォレットに送金すれば完了です。捜査機関でも簡単に追跡できなくなってしまいます。

　捜査機関は口座の名義人を犯人と考えて追跡するので、ネット詐欺の被害者はさらに被害を被ってしまう可能性があります。

ネット詐欺で盗んだ個人情報を悪用するケースが確認されています（画像はIC3より）

　BEC/EAC詐欺を防ぐには、まず社内のメールシステムに不正アクセスされないようにします。最新のシステムを導入し、可能な限り2段階認証を採用します。心理的な隙を突いて情報を盗もうとするソーシャルエンジニアリングに関する啓もうも必要でしょう。不審なメールが来た場合には、社内で気軽に情報を共有する雰囲気作りも重要です。

　特に、振り込み先や決済方法を変更する際は、たとえ取引先の本物のメールで連絡が来たとしても、電話など別の方法で確認するというフローを構築すると被害を回避できます。

　BEC/EAC詐欺は被害額が大きいのはもちろんですが、企業の信頼も傷つけてしまいます。自分の会社は有名じゃないし標的にならない、なんて高をくくらず、きちんと対策しておくことをお勧めします。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。