企業に深刻なダメージを与えるビジネスメール詐欺を防ぐために
ビジネスメール詐欺は、2021年に発生したサイバー犯罪の中で最も大きな損失額を記録した。企業はこの種の詐欺に長年悩まされている。
情報セキュリティの分野でよく言われる「人間が最大の弱点である」という格言は、特に電子メールに関連する脅威において非常に適切だ。例えば、サイバー犯罪者はソーシャルエンジニアリングを駆使してターゲットを自分たちの思うように操り、大きな利益を得ている。フィッシングがその代表的な手法であり、特にビジネスメール詐欺(BEC)が最近、最も深刻な被害を引き起こしている。FBIの最新のインターネット犯罪レポートによると、2021年にビジネスメール詐欺がサイバー犯罪で最も大きな損害額を記録したと報告されている。企業は長年、このような手法に対処してきたが、顔の見えない詐欺師から大金を守るため、多層的な防御策を講じてきた。
ビジネスメール詐欺の被害はどの程度広がっているのか?
FBIが設立したIC3(米国インターネット犯罪苦情センター)が発表した先述のレポートによると、2021年にIC3に寄せられたビジネスメール詐欺に関する苦情は19,954件だった。この件数はその年の苦情件数の中で9番目に位置しており、フィッシング(324,000件)、不払い・不配(82,000件)、個人情報漏えい(52,000件)には大きく差をつけられている。しかし、この約2万件のビジネスメール詐欺から、24億ドル(3,220億円相当)の驚異的な被害が発生しており、2位の投資詐欺(15億ドル、2,010億円相当)や3位のロマンス詐欺(9億5,000万ドル、1,270億円相当)を大きく上回っている。
つまり、ビジネスメール詐欺は2021年のサイバー犯罪における総被害額の約3分の1を占めることになった。2020年の約半分から減少しているように見えるが、実際には被害額が82%増加している。2019年も同様で、ビジネスメール詐欺の被害額は18億ドル(2,410億円相当)に達し、報告された件数は24,000件ほどであった。このことから、ビジネスメール詐欺は少ない件数でもより大きな金額を詐取できるようになったことがわかる。この現象はなぜ起きているのだろうか?
ビジネスメール詐欺の仕組みとは?
ビジネスメール詐欺は年々洗練され、手口が巧妙化している。簡単に言うと、これはソーシャルエンジニアリングの一形態だ。主に経理や財務担当者がターゲットになり、CEOや役員を装った人物から緊急送金の依頼を受けたり、取引先から支払い要求を受けたりすることがある。要求される方法は銀行振り込みだけでなく、ギフトカードを購入し、そのコードなどを提供するケースも存在する。信じがたいように思えるかもしれないが、こうした手口は今でも効果を上げている。詐欺師は、標的に考える暇を与えず、即座に行動を起こさせるプレッシャーをかけるため、成功率が高い。さらに進んだ手法として、フィッシング攻撃を使って企業のメールアカウントを乗っ取る方法がある。詐欺師は数週間かけて、取引先や支払いスケジュール、請求書の書式などの情報を収集し、適切なタイミングで偽の請求書を送信する。この場合、送り主は本物の取引先と同じだが、銀行口座は詐欺師のものに変更されている。マルウェアを使用しないため、企業側での検知は難しく、AIを活用したセキュリティソフトでも、送り主のなりすましを見抜くことが難しい。このように、従業員への教育や決済プロセスの更新は、ビジネスメール詐欺を防ぐために非常に重要な対策となる。
ビジネスメール詐欺の今後
ネットワーク管理者が抱える課題の一つは、詐欺手法が日々進化し続けていることだ。FBIは、攻撃者がAIを悪用し、音声や映像をねつ造するディープフェイク技術を使用して企業を騙す手段を取っていると警告している。まず、CEOやCFOといった上層部のメールアカウントを乗っ取り、従業員にオンラインミーティングに参加するよう促す。FBIのレポートは、オンラインミーティング中に、音声のないCEOの静止画を表示したり、ディープフェイクで経営者の声に変装した詐欺師が音声や映像が停止したと伝える様子を示している。詐欺師は、その後、従業員に直接振り込みを指示するか、不正にアクセスした経営者のメールを使って送金を依頼する。このようなディープフェイク技術による詐欺で、甚大な被害を受けた2つの事例が報告されている。ひとつは、英国のCEOがドイツ人上司からの送金依頼で22万ユーロを詐取されたケースで、もうひとつはUAEの銀行支店長が「顧客」からの要求により、3,500万ドルの詐取を受けたケースだ。近年、このような新技術の使用が急増しており、専門家をも騙すことが現実のものとなっている。ディープフェイクは音声だけでなく映像にも影響を与え、オンラインミーティングのなりすましは、CISOやリスク管理担当者にとって深刻な問題となっている。
ビジネスメール詐欺を防ぐために何をすべきか?
FBIはビジネスメール詐欺を行う犯罪グループの撲滅に全力を尽くしているが、サイバー犯罪がなくなるわけではない。莫大な利益が期待できるため、逮捕のリスクがあっても犯罪は続く。警察の取り組みはまるで「もぐらたたき」のようなものだ。明るいニュースとして、IC3のリカバリーアセットチーム(RAT)は昨年、米国内取引に関する1,726件のビジネスメール詐欺を取り扱い、約3億2,900万ドル(442億円)の支払いを防ぎ、成功率は74%に達した。しかし、課題は詐欺の多くが海外の銀行口座を利用している点で、RATは被害額24億ドル(3,220億円)のうち、回収できたのは14%以下であった。そのため、予防策を講じることが最も効果的な対策となる。企業は、AIを活用したメールセキュリティ、決済プロセスの更新、送金依頼の再確認、従業員のセキュリティ研修を強化し、最新のビジネスメール詐欺動向に基づいて防御策を更新すべきだ。ビジネスメール詐欺の標的となりやすい企業は多く、対策を講じることでリスクを大幅に軽減できる。
