経理関係者は必読　ビジネスメール詐欺（BEC）による偽の振込依頼に注意

会社の経理に関わる方は必読と考えますので、当ブログにおいても、その内容を紹介します。

説明のポイント

ビジネスメール詐欺（BEC)とは？

情報処理推進機構（IPA）によれば、「ビジネスメール詐欺」とは次のように定義されています。

ビジネスメール詐欺（Business E-mail Compromise：BEC）とは、巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口です。

いわば、ビジネス版の「振り込め詐欺」「オレオレ詐欺」ともいえます。

要注意なのは、「偽装」や「なりすまし」による振込依頼です。

例えば、海外の取引先との請求において、その間に割り込んだ犯人が相手方になりすまし、偽の口座に振り込みを要求するというものです。

このほかにも、なりすましの類型として、経営者自身を装ったものや、社長から紹介された弁護士などを装ったものがあるとのことです。

経理担当者は、これらの請求においても注意深く対応する必要性が求められています。

電子メールは、完全にセキュリティの確保された手段とは限りません。

相手方にメールが到達するまでの間に、なんらかの手段で盗聴される可能性は充分にありえるわけです。

例えば、無料のWiFiスポットなど、セキュリティが厳重でない環境下では、メールが盗聴されるリスクは高まります。

ビジネスメール詐欺とは、その盗聴した企業間のやりとりを突いて詐欺を働くという、極めて高度な知的犯罪であるといえます。

詐欺の事例には、これらの「なりすまし」以外にも、アカウントそのものを乗っ取って詐欺を働く事例も掲載されています。

この場合は、メールアカウントが正しいので「なりすまし」に気づきにくいパターンです。

一時期話題になった、LINEでの詐欺はご存じの方も多いでしょう。

攻撃者がLINEアカウントを乗っ取り、そのアカウントに登録された知り合い宛にプリペイドカードの購入を要求して、利用番号を窃取するという詐欺です。

これに似た行為が、ビジネス版としてもありえるわけです。

また、恐ろしいのは経営にダメージをおよぼすことでしょう。アカウントを乗っ取られると、取引先との信用問題につながります。

近年においては、身代金要求型のウイルス（ランサムウェア）も流行しており、ハッカーやウイルスに対する危険性の認識を一層強く持つべきでしょう。

情報処理推進機構による注意喚起を見ると、次のような要求や状況があった場合に、危険な兆候があるといえます。

情報処理推進機構は、ビジネスメール詐欺への対策として、次の点をあげています。

事例を見る限りは、送金前のチェックを強化することで、大半の被害を防げると考えられます。

普段の連絡先とは異なるメールアドレスだったり、通常のルールとは異なる処理を求められた場合において、セキュリティの確保として二重チェックをルールづけることも必要でしょう。

この他にも、「無料のメールアドレスは使わず、独自に取得したドメインのものを利用すること」や、「電話で確認する場合においても、メールに記載されたものではなく、あらかじめ知っている番号にかけること」などが注意喚起されています。

企業をターゲットにしたビジネスメール詐欺の危険性について、情報処理推進機構の注意喚起をもとに紹介しました。

ビジネスメール詐欺においては、個人をターゲットにした詐欺のように「現金の手渡し」はありえません。犯人が考えるのは、いかに偽の口座に振り込ませるかという用意周到な手口です。

振り込む場合の処理において、普段と異なるパターンでは、二重チェックを設ける対策が必要でしょう。

とくに海外と関わる企業は、そのリスクが増大します。情報処理推進機構の注意喚起を一読し、会議の議題として話し合うようにしましょう。