ビジネスメール詐欺の最新手口とは?事例(文例)と対策法を解説!
同じフロアのAさんから「ソフトウェアの一括更新をするので、IDとパスワードを教えて欲しい」とメールが来ました。
今まで一括更新なんてしなかったのになぜ・・・?
- こういった少しでも違和感があるメールはビジネスメール詐欺の可能性が高いです!
このように会社員の関係者を装い、個人情報を盗んだり送金させることを「ビジネスメール詐欺」と言います。
2017年12月に日本航空(JAL)がビジネスメール詐欺に遭い、3億8千万円騙し取られた事件がありました。
ビジネスメール詐欺は大企業に限った問題ではなく、中小企業でも起こる可能性は十分にあるのです。
この記事ではビジネスメール詐欺に合わないために最新の手口や、実際に送られたメールの文面、対策方法についても解説していきます。
ビジネスメール詐欺に合わないために必要な知識が5分程度で身に付くので必見です。
1.ビジネスメール詐欺とは?
ビジネスメール詐欺とは会社や仕事の関係者を装い、個人情報を盗むことです。
犯人が個人情報を盗む方法は以下のような手段があります。
- 1.ウイルスを送りつける
- 2.社員がターゲットのパソコンに打ち込まれた個人情報を盗み見る
- 3.仕事の関係者の権限で情報を盗む
- 残念ながら同じ会社の人が犯人だった事例も過去にあります。席を離れるときは画面を閉じたり対策してくださいね。
1-1.特徴と見分け方
ビジネスメール詐欺を見分ける方法をご紹介します。
まずメールアドレスの@より後ろの文字列を確認しましょう。
例えばAmazonに関係するメールでしたら、「@amazon.co.jp」の文字列になっているはずです。
しかし悪意のある犯人がなりすましたメールは、「@hotmail.co.jp」「@msn.com」「amazon」といった文字が入っていないことがほとんど。
基本的に@の後ろが聞いたこともないような文字列の場合は、フリーメールの可能性が高いので疑いましょう。
そのほかにも以下のことも確かめると良いでしょう。
「添付ファイルの拡張子(.docxなど)が.exeといった怪しいものではないか」
「あなたのパスワードは簡単しすぎます」や「システムが安全性の更新がされました」など、読んでいて非常に違和感がある文章は、ビジネスメール詐欺を疑った方がいいでしょう!
特に「.exe」はクリックした途端に何かが動き出すファイルにつけられる拡張子なので気を付けましょう。
1-2.標的型攻撃との違い
「標的型攻撃」というサイバー攻撃をご存知でしょうか?
情報を盗むことを目的に特定の企業や個人を集中的に狙うサイバー攻撃です。
ビジネスメール詐欺とはやや異なります。
まとめると以下の通り。
- 標的型攻撃→会社の「機密情報」を盗む目的
- ビジネスメール詐欺→会社の「金銭」が目的
- ビジネスメール詐欺に遭ったなら、すでに標的型攻撃にも遭っている可能性が考えられます。
1-3.進化していくビジネスメール詐欺の危険性
セキュリティ意識を高めてもらうために、ここからはビジネスメール詐欺の危険性についてお話しします。
ビジネスメール詐欺を見分けるためドメイン名を確認するようお伝えしました。
しかし、最近の手法はドメイン名をアルファベットの「o」と数字の「0」を使って見分けづらくしたり、メールも上手な日本語を使いつつあります。
メール本文にURLも添付ファイルも付いていないことが多く、その場合は悪意がないメールとしてセキュリティを突破されやすいのです。
- ビジネスメール詐欺の手口も巧妙になり、年々増加しています。「見分けるのが難しい」「詐欺に遭ったことに気づきにくい」「1回の被害額が莫大」、この3つの危険性があります!
2.ビジネスメール詐欺の最新手口や文例
国のセキュリティ機関に報告されているビジネスメール詐欺の最新の手口について、5つのパターンをご紹介します。
2-1.会社員になりすまし取引先に送金を要求
最も悪質なのは同じフロアの会社員がターゲットのパソコン画面を盗み見たり、机に貼った付箋から取引先の情報を得たりすることです。
なりすました犯人はターゲットに取引先に偽の請求書を送付。
取引先はいつもやり取りしている相手なので、疑うことなく指定された口座へ送金します。
こうして犯人の口座へ大金が振り込まれるのです。
2-2.ターゲットの関係者を装う
犯人はターゲットの上司や同僚になりすますことも。
「今日中にパスワードを変更してほしい」など、できるだけ考える時間を与えない文章が特徴です。
犯人はターゲットの上司や同僚の名前をあらかじめ知っており、不正アクセスしてさらに情報を盗みます。
パソコンだけじゃなくSMSやLINEでメッセージを送ってくる場合もあります。
2-3.経営者へのなりすまし
経営者になりすました犯人が、その会社に勤める経理担当や責任者宛に「早急にここへ代金を送って欲しい」と、偽の口座を指定したメールを送付します。
文章の最後には「誰にも言わないでほしい」と記載されていたため、メールを受信した人独自の判断で指定された口座へ送金しました。
もちろん送金先は犯人の口座です。
以下は実際に経営者になりすました犯人からのメールです。
2-4.ターゲットの情報を事前に入手
犯人はあらゆる手段で会社員の個人情報を盗みます。
フィッシングメールを送ったり、パソコン画面の盗み見や情報機器を使用しない手法などもあります。
ターゲットの会社員になりすまし、給料の振込先や使用するツール等を、犯人にとって都合が良いように設定される事例も
近頃よく報告されるようになった「キーロガー」はご存じでしょうか?
ウイルスを使用し、パソコンのキーボードが打たれた文字列の情報を盗み取ることです。
- 例えば私がひらがなで「りんご」と打ったら、犯人が「今りんごって打ったな」とわかるってことでしょうか?
- そうです!まず犯人はフィッシングメールなどでターゲットに、キーロガー実行機能を持つウイルスを感染させます。感染したターゲットのパソコンは、どう文字列を打ったか犯人に丸わかりになってしまいます。
2-5.弁護士や警察になりすます
犯人は警察官や弁護士などの権威ある立場になりすますこともあります。
など、脅迫する内容のメールが多いです。
受信者に考える隙を与えず、慌ててメールに記載されているURLやファイルを開くと、偽サイトに誘導されウイルスに感染します。
2020年に「弁護士法人 鈴木康之法律事務所」を騙った、悪質なビジネスメール詐欺が流行しました。
そのときに送られたメールの一つです。
3.実際に起きたビジネスメール詐欺事例と被害額
ここからは実際におきたビジネスメール詐欺の3つの事例をご紹介していきます。
3-1.同じ部署の人間になりすまし個人情報を盗む
テレワークをしていた会社員宛に仕事の同僚から、
と連絡がありました。
そのままSMSでログインIDとパスワードを教えてしまい、後日会社のサイトに不正アクセスされたことがわかりました。
他の社員にも同様のビジネスメール詐欺があり、中にはウイルスを送りつけられた人もいたそうです。
3-2.取引先になりすまし偽の請求書を送付
取引先からメールで「システム保守費用の請求書」が送付されました。
送信元も相手の名前もよく知っていたので、疑わずそのまま請求書通りに代金を振り込みました。
領収書がこないので取引先に確認したら、「請求書は送っていない」とのこと。
約800万円の代金を振り込んだ先は犯人の口座だったのです。
犯人はあらかじめ取引先とのメールのやりとりを盗聴していました。
このように取引先になりすましたビジネスメール詐欺は、もはや見分けるのが難しいかもしれません。
3-3.仕事の依頼を装いフリーランスの個人情報を搾取
フリーランスのSEにシステム開発の仕事依頼がきました。
依頼の引き受け前金を請求したところ、顧客から「QuickBooksという会計ソフトで支払いたい」と言われました。
SEは顧客から指定されたURLにアクセスし、銀行の口座番号含む個人情報を入力してアカウントを開設しました。
しかし翌日以降SEの銀行口座から、数百万円ほど不正に引き出されていました。
- フリーランスの顧客の要望にはできるだけ応えてあげたい気持ちにつけ込んだ悪質な手口です。
フリーランスにはさまざまな依頼人が訪れるため、ビジネスメール詐欺に遭う可能性が高いので注意しましょう。
4.ビジネスメール詐欺被害に遭ったらすべき3つのこと
- もしビジネスメール詐欺に遭ったらどうすればいいんでしょうか?
- それらしきメールが送られてきた場合や情報を漏洩させたと気づいた場合は、その場ですぐに上長に報告。そしてできるだけ社内全員に情報を共有し、注意喚起しましょう。
社内で共有すると同時に、できるだけ社外にも情報提供をお願いします。
各都道府県の「警察庁サイバー犯罪対策プロジェクト」 に通報すると、同じ被害者を出さないために公式サイトで注意喚起してくれます。
もちろん被害に遭った会社名は伏せて掲載されます。
サイバー犯罪は企業ごとではなく国全体で取り組むべき課題なので、情報提供にご協力お願いします。
- ビジネスメール詐欺に遭ったら「上長に報告」「社内共有」「警察庁サイバー犯罪対策プロジェクトに通報」です。
5.ビジネスメール詐欺に効果的な対策8選
ビジネスメール詐欺に遭わないためにできる対策をご紹介しますので、さっそく実践してみてくださいね。
【ビジネスメール詐欺に遭わないための対策8選】
- ソフトウェアやOSのバージョンを常に最新化
- ウイルス対策ソフトの導入
- 強固なID・パスワードに設定
- 違和感のあるメールや知らない人からのメッセージを開かない
- 怪しいと感じたらお客様でも相手に確認(名刺や公式サイトから電話すること)
- お金が絡むケースは送信元を確認
- 見たことのない拡張子の添付ファイルやURLを開かない
- ビジネスメール詐欺の訓練
「バージョンの最新化」はウイルス対策に非常に効果があります。
開発者もウイルスに負けないようなサービス作りを心がけているので、更新のお知らせを受け取ったらすぐに更新してくださいね。
「ビジネスメール詐欺の訓練」は企業向けのサービスとして提供されています。
会社の担当者が社員をランダムに選択し、業務関係者になりすましたメールを送信します。
うっかり開封してしまった場合、「ビジネスメール詐欺にご注意ください!」などの警告文を表示させます。
6.ビジネスメール詐欺に効果的な対策8選
- ビジネスメール詐欺は年々増加している上、見分けるのが難しくなっているんですよね?だったらもう防ぎようがない気がします…
- ちょっと待ってください!そんなときは「セキュリティ対策商品」に頼るのが一番です。
進化しているのはサイバー犯罪だけではありません。
最近のセキュリティ対策商品も同様に素晴らしい性能を持っています。
ビジネスメール詐欺に効果があるおすすめのセキュリティ対策を3つご紹介します。
6-1.「ESET」で怪しいメールをブロック
セキュリティ対策商品といえばまず「ウイルス対策ソフト」で、全ての家庭や会社のパソコンに導入必須です!
ウイルス対策ソフトに迷ったときは「ESET」がおすすめです。
とにかく動作が軽いことで実際に多くのユーザーから支持されています。
ESETの優れた機能と特長
- ウイルス付きメールをブロック
- ビジネスメール詐欺の疑いがあるメールを開こうとすると、警告を表示してブロック
- 偽サイトへの接続をブロック
- アカウントのログインID・パスワード・その他個人情報を保存して一元管理し、漏えいしていないか確認
- パッケージが3種類あるので欲しい機能を選択可能
- まとめると「ESET」は怪しいメールやウイルスなど、外部からの侵入者を徹底してブロックする機能に特化したセキュリティ対策商品です。
6-2.「MAILSCREEN」でメールによる情報漏洩を防ぐ
「MAILSCREEN」はメールで情報漏洩を起こさないことに特化した商品です。
偽サイトへの入力やメールで、個人情報を漏洩させたら大変です。
それらを防いでくれるのがこの「MAILSCREEN」です。
例えば「上司にチェックしてもらい、許可を得たメールしか送信できない」設定にできますし、その他「MAILSCREEN」には情報漏洩を防いでくれる、ありがたい機能がたくさん備わっています。
MAILSCREENの優れた機能
- 上司の許可が下りたメールのみ送信
- 怪しい添付ファイル付きのメールをブロック
- 「送信遅延機能」でメールの送信キャンセルが可能
- メール本文の個人情報と思われる文字列を検索し送信を防ぐ
- まとめると「MAILSCREEN」は、社内から個人情報を漏らさないことに特化した機能がついているんです。
6-3.サイバー攻撃対策を一つにまとめた「Cyber Box Pro」
- 紹介してもらった2つの商品を早速導入したいと思います!でも社員数が多いのでちょっと費用や手間がかかりそうですね…
- そんなときには「Cyber Box Pro」がおすすめですよ!1台導入するだけで、ビジネスメール詐欺含むあらゆるサイバー攻撃対策はバッチリです!
「Cyber Box Pro」の中にはセキュリティに関する商品と機能が詰め込まれています。
Cyber Box Proの優れた機能
- 「ESET」が内包されている
- ウイルス付きメールを全てブロック
- 外部からの遠隔操作を受け付けない
- この1台だけで全員のセキュリティ管理が可能
- 複数拠点の操作ログを一度に監視して管理
ビジネスメール詐欺以外にもランサムウェアによる情報削除や、機密情報の持ち出し等も防いでくれます。
いわゆるセキュリティ対策の「オールインワンパッケージ」なのです。
その上設定や操作も簡単で商品サポートも万全なので、セキュリティに関して深い知識のない方でも安心して使えます。
セキュリティ対策商品を複数導入すると管理や監視が大変ですし、パッケージにすることで費用も抑えられます。
「Cyber Box Pro」ならたった1台導入するだけなので、簡単に管理や監視ができますよ。
7.まとめ
ビジネスメール詐欺の犯人は非常に巧妙に関係者になりすまし、あらゆるツールで相手を騙そうとします。
サイバー犯罪者に対抗するには最新の情報を収集することと、怪しい文章を見極められる感覚を養うことが求められます。
- でも次々と新しい手口で私たちを騙すわけですよね?いつか被害に遭いそうな気がしますが…。
- もちろん気をつけるよう心がけていても限界があります。そこで役に立つのがセキュリティ対策商品です。
こんな人はこのセキュリティ対策!
- 1.「Cyber Box Pro」→複数のセキュリティソフトを入れたくない
- 2.「MAILSCREEN」→メールによる情報漏洩や怪しいメールだけをブロックしたい
- 3.「ESET」→できるだけPCを軽くしたい
サイバー攻撃被害はコロナ禍でさらに増えています。
起きてからでは手遅れなので、起こる前に最善の対策を施し、未来の会社の運営を守っていきましょう。
