ニュース

幹部や取引先になりすまし、送金や機密情報の送付を依頼してくる「ビジネスメール詐欺」、4割が受信経験

 トレンドマイクロ株式会社は14日、「ビジネスメール詐欺に関する実態調査 2018」の結果を発表した。約4割が「ビジネスメール詐欺」のメールを受信した経験があることなどが分かった。

 ビジジネスメール詐欺とは、経営幹部や取引先などになりすまし、口座への送金や機密情報などの送付を依頼するメールで金銭や情報をだまし取るサイバー犯罪。FBIによると、2013年10月から2018年5月までの約4年半で、全世界での累計被害件数は7万8617件、累計被害額は約125億米ドルに上っているという。

 トレンドマイクロが今年6月、民間企業や官公庁・自治体を含む国内法人組織の情報セキュリティ・IT責任者や経理責任者1030人を対象に行った今回の調査によると、半数以上の52.4%の人はこうしたビジネスメール詐欺のメールが送られてきたことはないと回答した一方で、送られてきたことがあるとした人は39.4%と、約4割に上った。企業の規模別で見ると、従業員49人以下では27.7%にとどまるが、従業員数5000人以上では47.6%に上昇する。

従業員規模別の「ビジネスメール詐欺」メール受信経験割合(単一回答)

 受信したメールの内容は、送金口座の変更に伴う新しい口座への送金や、至急案件による送金を促す「送金依頼」が62.3%、自身が勤める組織の幹部・従業員に関する個人情報や、業務提携先に関する情報、非公開の機密情報などを求める「情報の送付依頼」が51.5%。「国内ではビジネスメール詐欺は金銭をだまし取るものといった認知が一般的な一方で、多くの国内法人組織が特定の情報入手を目的としたビジネスメール詐欺にも直面していることが分かった」としている。

「ビジネスメール詐欺」種類別メール受信割合(複数回答)

 送金依頼メールの受信者253人のうち、22人(8.7%)が、だまされて実際に指定口座に送金(何らかの理由により相手側に着金しておらず、実害には繋がっていない場合も含む)。送金してしまった金額は、5000万円未満が約半数だが、中には1億円以上もあった。

 企業の規模別に見ると、22人のうち12人は従業員1000人以上の組織に属しており、「セキュリティ対策や送金プロセスなどが比較的整備されていることが考えられる大企業でさえ、サイバー犯罪者の巧みなソーシャルエンジニアリング攻撃の被害に遭っていることが伺える」とトレンドマイクロでは指摘している。

 一方で、送金依頼メールの受信者において、送金を未然に防ぐことができた理由として挙げられたのは、「メール受信者がなりすましメールであることに気付き送金をしなかった」が最も多く62.1%。以下、「セキュリティ対策製品によってなりすましメールに気付き送金をしなかった」が43.5%、「メール受信者が本人に確認の連絡をし、なりすましメールであることが判明したため、送金をしなかった」が23.3%、「経理による送金処理プロセルの過程でなりすましメールに気付き送金をしなかった」が11.9%。

送金を未然に防ぐことができた理由(複数回答)

 この結果から、「ビジネスメール詐欺に対しては、セキュリティ対策製品による対策とともに、攻撃手法に関する従業員への注意喚起や教育も重要かつ有効な対策であるといえる」「ビジネスメール詐欺のように人を巧妙な手口でだますサイバー犯罪では、人的、組織的なチェック機能を重ねることで被害防止にもつながることが分かった」としている。