BECとは
BEC(Business Email Compromise:ビジネスメール詐欺)とは、eメールを介した詐欺行為です。上司や取引先を装って金銭を要求する手口が横行しており、IC3(Internet crime complaints Center:米インターネット犯罪苦情センター)の統計(※1)によると、2016年から2019年で約260億ドルの被害が確認されているそうです。そのケースはさまざまですが、単純なばら撒き型のメールでなく、スピアフィッシング攻撃と呼ばれる特定の人物や組織を狙った高度な標的型のメールも確認されています。
新型コロナウイルスとBEC
新型コロナウイルスの流行と共にサイバー攻撃のトレンドも変化が生じています。特に欧米での大規模な感染拡大が確認された2020年3月に入ってからは、新型コロナウイルス関連のサイバー攻撃が急増しました。これを受けて、先日NTTデータ セキュリティ技術部が発行した「グローバルセキュリティ動向四半期レポート 2019年度 第4四半期版(※2)」では、人々の不安感情や支援者の善意につけ入るようなフィッシングとマルウェアの拡散事例について取り上げました。
2.実在する顧客を名乗る攻撃者から「当局のコロナウイルス監査のため、通常の銀行口座が凍結された。すべての支払いを別の銀行に変更して欲しい」とメールで要求されました。この事例では実際に複数回の送金を行ってしまったそうです。
まとめ
このようなBECから身を守るためにどのようなことに注意すればよいでしょうか。FBIは6つの注意点も挙げています。
- 合理的な説明もなく対応を急かす行為
- 送金指示内容や送金先の急な変更
- 通常と異なる手段による連絡、または突然のメールアドレスの変更
- メール以外の連絡手段の拒否
- 唐突な前払いの要求
- 社員からの口座振替依頼の変更要求
これらの注意点は非常によく要点が押さえられています。BEC攻撃者は、自分たちにとって都合の良いシナリオに誘導し、また冷静な判断を下せないように被害者を急かします。もし、少しでも不審な連絡を受け取った場合は、先方に”実績のある連絡手段”を用いて確認するといった対策を取るのが良いでしょう。現場のとっさの判断で確認を行うのが難しいケースもありますので、不審な連絡を受け取った際のエスカレーション先や対応手順を事前に決めておくことも、併せて推奨いたします。
しかしながら、BEC攻撃者は時流を読み、被害者を騙す手口をこれからも改良していくでしょう。BECをはじめとしたサイバー攻撃対策のためには、最新のトレンドを知る必要があると考えられます。NTTデータ セキュリティ技術部では、3ヶ月に1度「グローバルセキュリティ動向四半期レポート」を公開しています(※5)。サイバーセキュリティ業界の動きを把握できる内容となっておりますので、ぜひご活用ください。