ビジネスメール詐欺の主な種類と必要な対策について

情報セキュリティ

企業における代表的な脅威の1つに、“ビジネスメール詐欺”が挙げられます。
これは、“情報セキュリティ10大脅威”において、常に上位にランクインしている脅威であり、企業はいつ被害に遭うかわかりません。
よって、どのような種類があるのか、どうすれば被害を防げるのかについては知っておきましょう。

ビジネスメール詐欺の種類について

一口にビジネスメール詐欺といっても、その種類は多様です。
以下の5つが主な手法であるため、企業関係者の方は把握しておきましょう。

・請求書の偽装
・経営者等へのなりすまし
・アカウント乗っ取り
・第三者へのなりすまし
・必要情報の窃取

請求書の偽装

企業が取引先と請求に関するやりとりをメールで行っている間に、第三者である攻撃者が割って入り、偽の請求書を送付して、金銭を振り込ませるという手法です。
攻撃対象となる企業からすれば、取引先とメールをしている最中に、取引先を装った人物から、振込先等が変更された請求書が送られてくるため、疑うことなくその内容に従いやすくなります。

経営者等へのなりすまし

攻撃者が企業の経営者、あるいは上層部になりすまし、従業員に口座振り込みを指示するという手法です。
大手企業などにおいては、従業員と経営者、上層部のつながりが希薄な場合もあり、つい騙されてしまうケースも見られます。
また、攻撃者の中には、より信憑性を持たせるために、経営者等のデータを事前に集め、本物らしい言葉を使う者もいます。

アカウント乗っ取り

特定の企業における従業員のメールアカウントを乗っ取り、そこから取引先の企業に向けて偽の請求書を送付して、入金させるという手法です。
メールアドレス等の情報は完全に本物であるため、取引先は騙される可能性が高くなります。
また、これはメールアカウントを乗っ取られた企業、金銭を騙し取られた企業の2社が被害者となります。

第三者へのなりすまし

企業の外部における権威のある人物や組織(弁護士、法律事務所など)になりすまし、企業に口座への入金を指示するという方法です。
弁護士等の性質と企業の心理を利用した、極めて悪質なビジネスメール詐欺だと言えます。

必要情報の窃取

これは、正確にはビジネスメール詐欺の前段階といえるものです。
ビジネスメール詐欺を行う攻撃者は、事前に情報を得ることで、より信憑性を高めたり、スムーズに攻撃を実行したりする傾向にあります。
よって、金銭を窃取する前に、企業における情報を窃取する場合があります。
具体的には、その企業の経営陣等のフリをして、従業員の情報を集めるためのメールを一斉送信するといった方法です。

ビジネスメール詐欺の被害を防ぐためには

ビジネスメール詐欺の被害に遭わないようにするために、企業は以下の対策を取る必要があります。

・取引先へのこまめな連絡
・社内規定の整備
・速やかな情報共有
・ウイルス、不正アクセスへの対策
・電子署名の付与

取引先へのこまめな連絡

取引先から振込先の変更などの連絡があった場合は、入金前に取引先に連絡しましょう。
このとき、メールではなく電話で連絡することで、事実と異なるか否かはすぐにわかります。
もちろん、普段から特別な通知がある場合の連絡方法などについて、取引先と連携を取っておくことも大切です。

社内規定の整備

ビジネスメール詐欺の被害に遭うことを想定し、社内規定を整備しておけば、簡単に偽口座に入金してしまう可能性は下がります。
また、不審なメールのチェックに関しては、必ず複数人で行います。

速やかな情報共有

ビジネスメール詐欺は、企業におけるあらゆる部署で行われている可能性があります。
よって、不審なメールの存在に気づいた担当者は、そのメールにどう対応するかだけでなく、他の部署に情報を共有することも意識しましょう。
こうすることで、他の部署への攻撃を未然に防げるかもしれません。

ウイルス、不正アクセスへの対策

企業の経営者や従業員のメールアカウントが乗っ取られると、自社だけでなく取引先にも多大なダメージを与えてしまいかねません。
そのため、ウイルスや不正アクセスを防ぐための対策は必要不可欠です。
具体的には、セキュリティソフトの導入やOSのアップデートだけでなく、不審なメールやサイトを開かないといった、従業員教育を伴う対策も取らなければいけません。

電子署名の付与

電子署名とは、その電子文書が正式なものであり、かつ改ざんされていないことを証明するためのものをいい、これは紙媒体における印鑑やサインにあたります。
すべての契約に活用できるわけではありませんが、可能であれば取引先の合意を得て導入しましょう。

まとめ

ここまで、ビジネスメール詐欺の種類と対策をまとめて解説しましたが、いかがでしたでしょうか?
一度被害に遭うと、企業は金銭を騙し取られるだけでなく、無駄な時間や手間、解決のためのコストまで費やすことになります。
もちろん、ユーザーや取引先からの信頼を失うことにもなりかねないため、前もって万全の対策を取っておきましょう。

タイトルとURLをコピーしました