ビジネスメール詐欺 (BEC) とは

ビジネスメール詐欺 (BEC) とはフィッシング攻撃の一種で、組織を標的としていて、金銭や重要な情報を盗み取ることが目的です。

ビジネスメール詐欺 (BEC) の定義

ビジネスメール詐欺 (BEC) とはサイバー犯罪の一種で、詐欺師がメールを用いてだれかをだまして送金をさせたり会社の極秘情報を打ち明けさせたりすることです。犯人は信頼できる人物になりすまして、偽の支払いの請求を行ったり、別の詐欺に利用できる機密データを要求したりします。BEC 行為はリモートワークの増加が原因で増えつつあり、FBI に対する BEC についての訴えが昨年はほぼ 20,000 件ありました。¹

ビジネスメール詐欺行為の種類

サイバー攻撃の 91 パーセントはメールが起点となっています。² 最もよく見られる侵害されたメールの種類を紹介します。

データの盗用

詐欺師は人事部門を標的にして、だれかのスケジュールや個人の電話番号といった会社の情報を盗むことから始める場合があります。そうすると、他の BEC 行為のいずれかを実行しやすくなり、より信用できるように見せることが可能です。

架空請求の策略

あなたの会社が取引をしている正規のベンダーを装って、詐欺師が偽の請求書 (多くの場合実際のものによく似ている) をメールで送ってきます。口座番号が 1 桁だけ異なっている場合があります。または、あなたが利用している銀行が監査の対象になっていると主張して、別の銀行に支払うよう要求する場合もあります。

CEO 詐欺

詐欺師が CEO のメールアカウントのなりすましまたはハッキングを行い、購入を行うか電信送金で金銭を送るよう指示するメールを従業員に送ります。詐欺師はギフトカードを購入するよう従業員に依頼して、シリアル番号の写真を要求する場合もあります。

弁護士のなりすまし

この詐欺では、攻撃者は法律事務所のメールアカウントに不正にアクセスできるようにします。その後、クライアントに請求書やオンラインで支払うためのリンクをメールで送ります。メールアドレスは正当なものですが、銀行口座はそうではありません。

アカウントの侵害

詐欺師はフィッシングまたはマルウェアを利用して、売掛金管理職といった財務担当の従業員のメールアカウントにアクセスできるようにします。その後、詐欺師は会社の供給元に、不正な銀行口座への支払いを求める偽の請求書をメールで送ります。

BEC 行為のしくみ

BEC 行為では、以下のようなことが行われます。

1. 詐欺師が標的を調査し、ID の偽装方法を見つけ出します。偽の Web サイトを作成したり、あなたの会社と同じ名前の会社を別の国で登記したりする場合もあります。

2. アクセスできるようになると、詐欺師はメールを監視して金銭のやり取りができる人物を見つけ出します。また、会話のパターンや請求書にも着目します。

3. メールでの会話中に、詐欺師はメールドメインを偽装して当事者の 1 人になりすまします。(メールアドレスが 1、2 文字異なっていたり、正しいメールアドレスだが別のドメインを経由 (via) していたり (たとえば chris@contoso.com via fabrikam.com) する場合があります。)

4. 詐欺師は標的の信用を得ようと試みてから、金銭、ギフトカード、または情報を要求します。

ビジネスメール詐欺の標的

だれでも BEC 行為の標的になり得ます。企業、政府機関、非営利団体、学校はすべて標的で、具体的には以下のような役割が対象です。

1. 重役とリーダー: 詳細な情報が会社の Web サイトで一般に公開されていることが多いので、攻撃者は知っているふりをすることができます。

2. 財務担当の従業員: 銀行取引の詳細、支払い方法、口座番号を管理している経理部長や買掛金担当者などです。

3. 人事部長: 社会保障番号、納税証明書、連絡先情報、スケジュールなどの従業員の記録を管理しています。

4. 新入社員: メールが正当なものかどうかを送信者に確認できません。

BEC の危険性

ビジネスメール詐欺攻撃が成功した場合、組織で以下が発生する可能性があります。

1. 数十万から数百万ドルを失う。

2. 個人を特定できる情報が盗まれた場合は広範囲にわたるなりすましに直面する。

3. 知的財産などの極秘データが誤って流出する。

BEC の策略が進化するにつれて、脅威対策の戦略も進化しています。実際に、320 億件のメールの脅威が昨年 Microsoft によって阻止されました。³ Microsoft のメールの脅威対策ソリューションの詳細をご覧ください。

ビジネスメール詐欺の例

例 1: 急ぎの請求書の支払いを依頼される

あなたは会社の財務部門で働いているとします。支払期日を過ぎた請求書に関する緊急の依頼のメールが CFO から送られてきますが、実際には CFO からのものではありません。あるいは、詐欺師が修理会社またはインターネットプロバイダーを装って、信用できるように見える請求書をメールで送ってきます。

例 2: 電話番号を尋ねられる

会社の重役から次のようなメールが送られてきます: "簡単なタスクであなたの助けが必要です。電話番号を送ってもらえれば、テキストメッセージで連絡します"。テキストメッセージはメールよりも安全かつ個人的なものだと感じるため、詐欺師はあなたが支払い情報や他の機密情報をテキストメッセージで送ることを期待します。これは "スミッシング" または SMS (テキスト) メッセージを利用したフィッシングと呼ばれています。

例 3: 賃貸期間が間もなく終了する

詐欺師が不動産会社のメールにアクセスできるようになり、進行中の取引を見つけます。クライアントに "こちらがオフィスの賃貸を 1 年間更新するための請求書です" または "こちらが賃貸の保証金を支払うためのリンクです" というメールを送ります。詐欺師がこの方法で USD$500,000 以上をだまし取ったことが最近ありました。⁴

例 4: 極秘の買収

社長が競合他社の 1 つを買収するための手付金を求めてきます。メールには "このことはここだけの話にしておいてください" と書かれていて、依頼の確認を思いとどまらせることになります。M&A の詳細は、すべてが確定するまでは内密にしておくことが多いので、この詐欺は最初は疑わしく見えない場合があります。

BEC 防止のヒント

以下の 5 つのベストプラクティスに従って、ビジネスメール詐欺を阻止しましょう。

安全なメールソリューションを利用する

Office 365 などのメールアプリでは、疑わしいメールが自動的にフラグ付けおよび削除されたり、送信者が確認されていないという警告が示されたりします。そうすると、特定の送信者をブロックしたり、メールをスパムとして報告したりできます。Defender for Office 365 を利用すると、高度なフィッシング対策や疑わしい転送の検出などの BEC 防止機能がさらに追加されます。

多要素認証 (MFA) を設定する

ログインするためにパスワードだけでなくコード、暗証番号 (PIN)、または指紋を必要とする多要素認証を有効にすることで、メールがより侵害を受けにくくなります。

前兆に気付くことができるよう従業員を指導する

フィッシングのリンク、ドメインとメールアドレスの不一致、その他の危険信号を見分ける方法を全員が確実に知っているようにしましょう。BEC 行為のシミュレーションを行うと、実際に発生したときに人々がそれと認識できます。

セキュリティの既定値群を設定する

管理者は、全員に MFA の使用を要求したり、新規または危険なアクセスに対して認証によって身元確認を行ったり、情報が漏洩した場合にパスワードのリセットを強制したりして、組織全体でのセキュリティの要件を厳しくすることができます。

メール認証ツールを使う

Sender Policy Framework (SPF)、ドメインキー識別済みメール (DKIM)、ドメインベースのメッセージの認証、レポート、および適合 (DMARC) を使用して送信者の認証を行うことで、メールのなりすましをより困難にすることができます。

安全な支払いプラットフォームを採用する

メールで送られる請求書から支払いの認証専用に設計されたシステムへの切り替えを検討してください。

ビジネスメール詐欺対策

疑わしいメールを検出するためのソリューションを利用して、組織を保護できるようにしましょう。たとえば、Microsoft Defender for Office 365 を利用すると以下を行うことができます。

1. メールの認証基準のチェック、スプーフィングの検出、検疫または迷惑メールフォルダーへのメールの送信を自動で行う。

2. AI を使用して、各人の通常のメールパターンをモデル化し、通常とは異なる活動にフラグを設定する。

3. ユーザー、ドメイン、メールボックス別にメールの保護を構成する。

4. 脅威エクスプローラーで脅威を調査し、標的を突き止め、誤検知を検出し、詐欺師を特定する。

5. スプーフィングインテリジェンスの高度なアルゴリズムを利用して、ドメイン全体でのメールパターンをチェックし、通常とは異なる活動を明らかにする。

Microsoft Security についてさらに学ぶ

メールの安全性を強化するための 6 つのヒント

これらのメールセキュリティのベストプラクティスに従って、BEC 対策に役立てましょう。

ヒントを読む

ギフトカード詐欺について理解する

BEC 行為を成功させようと試みている詐欺師の実際のメールを読んで、準備をしておきましょう。

手口を確認

BEC 攻撃に踏み込む

この現実のビジネスメール詐欺行為で詐欺師がどのように行動しているかをご覧ください。

詳細を確認

パスワードスプレー攻撃を防ぐ

このメール攻撃を阻止し、組織内で攻撃を受けやすい人を見つけ出す方法をご覧ください。

記事を読む

CISO が知っておくべきこと

セキュリティ意識向上トレーニングの現状と、フィッシングについてチームに教える方法をご覧ください。

MFA によるフィッシングの防止方法

BEC 行為を阻止する最も迅速かつ簡単な手段の 1 つである、多要素認証の有効化を実行しましょう。

詳細情報

デジタル犯罪対策部門の紹介

Microsoft のサイバー犯罪チームが、製品のイノベーション、調査、AI を利用してどのように BEC に対抗しているかをご覧ください。

DCU について確認する

よく寄せられる質問

FBI の Internet Crime Complaint Center (IC3) に申し立てを行ってください。メールを迷惑メールまたはスパムに設定して、メールプロバイダーを通じて報告してください。メールにそのようなオプションがない場合は、管理者に伝えてください。
フィッシングは、ビジネスメール詐欺の一部にすぎません。BEC は総称で、多くの場合フィッシング、スプーフィング、偽装、架空請求を含む攻撃の一種です。
ビジネスメールを保護するには、安全なメールプロバイダーを利用する、多要素認証 (MFA) を有効にする、強力なメールパスワードを選んで頻繁に変更する、個人情報の詳細をオンラインで共有しないといった、メールセキュリティのベストプラクティスに従ってください。管理者の場合は、Defender for Office 365 のようなメールセキュリティソリューションを検討し、セキュリティの設定を構成し、通常とは異なる活動を監視してください。
勤務時間外に送信されたメール、名前のつづりの誤り、送信者のメールアドレスと返信先アドレスの不一致、切迫感、見知らぬリンクや添付ファイル、支払いまたは請求情報の変更など、何かが普段と異なることに気付くことで、BEC 行為と詐欺を見抜きます。メールアカウントの削除済みメールと転送ルールをチェックして、アカウントが侵害を受けているかどうかを確認することで、BEC 行為を見抜くこともできます。メールアプリで特定のメールが疑わしいまたは未確認としてフラグが設定される場合は、それも BEC 行為を見抜く方法の 1 つです。
メールのスプーフィングとは、メールアドレスを偽造してメールが別の人から送信されたように見せることです。なりすましメールは本物のように見えていても、調べないと気付きづらいように別のドメインから送信されていたり (chris@contoso.com via fabrikam.com)、わかりにくいつづりの誤りがあったり (chris@cont0so.com)、まったく別のドメインから送信されていたり (chris@fabrikam.com) することがあります。

1. FBI、「Internet Crime Report 2021」、Internet Crime Complaint Center、2021.

2. Ganacharya, Tanmay、「コロナウイルスを題材とするフィッシング攻撃に対して防御する方法」、Microsoft Security のブログ。2020 年 3 月 20 日。

3. Microsoft、「デジタル防衛レポート」、2021 年 10 月。

4. 米国司法省、「Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer」、2020 年 7 月 15 日。

ビジネス メール詐欺 (BEC) とは

ビジネス メール詐欺 (BEC) とはフィッシング攻撃の一種で、組織を標的としていて、金銭や重要な情報を盗み取ることが目的です。

ビジネス メール詐欺 (BEC) の定義

ビジネス メール詐欺行為の種類