経理関係者は必読 ビジネスメール詐欺(BEC)による偽の振込依頼に注意

独立行政法人である情報処理推進機構(IPA)より、偽の振込依頼によるビジネスメール詐欺が流行しつつあるという注意喚起がありました。

会社の経理に関わる方は必読と考えますので、当ブログにおいても、その内容を紹介します。

説明のポイント

  • 請求依頼を盗聴し、割り込んで偽の請求を行う手口などがある
  • 少しでも怪しいと感じたら、電話などで相手方に直接確認する手間を惜しまないこと
スポンサーリンク

 

ビジネスメール詐欺(BEC)とは?

情報処理推進機構(IPA)によれば、「ビジネスメール詐欺」とは次のように定義されています。

ビジネスメール詐欺(Business E-mail Compromise:BEC)とは、巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口です。

いわば、ビジネス版の「振り込め詐欺」「オレオレ詐欺」ともいえます。

どんな詐欺が想定されるか

要注意なのは、「偽装」や「なりすまし」による振込依頼です。

例えば、海外の取引先との請求において、その間に割り込んだ犯人が相手方になりすまし、偽の口座に振り込みを要求するというものです。

BECの手口

引用【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(情報処理推進機構)

このほかにも、なりすましの類型として、経営者自身を装ったものや、社長から紹介された弁護士などを装ったものがあるとのことです。

経理担当者は、これらの請求においても注意深く対応する必要性が求められています。

よくある思い込みと注意点

電子メールは完全なセキュリティに守られているわけではない

電子メールは、完全にセキュリティの確保された手段とは限りません。

相手方にメールが到達するまでの間に、なんらかの手段で盗聴される可能性は充分にありえるわけです。

例えば、無料のWiFiスポットなど、セキュリティが厳重でない環境下では、メールが盗聴されるリスクは高まります。

ビジネスメール詐欺とは、その盗聴した企業間のやりとりを突いて詐欺を働くという、極めて高度な知的犯罪であるといえます。

アカウントをのっとられるリスク

詐欺の事例には、これらの「なりすまし」以外にも、アカウントそのものを乗っ取って詐欺を働く事例も掲載されています。

 

スポンサーリンク

 

この場合は、メールアカウントが正しいので「なりすまし」に気づきにくいパターンです。

一時期話題になった、LINEでの詐欺はご存じの方も多いでしょう。

攻撃者がLINEアカウントを乗っ取り、そのアカウントに登録された知り合い宛にプリペイドカードの購入を要求して、利用番号を窃取するという詐欺です。

これに似た行為が、ビジネス版としてもありえるわけです。

また、恐ろしいのは経営にダメージをおよぼすことでしょう。アカウントを乗っ取られると、取引先との信用問題につながります。

近年においては、身代金要求型のウイルス(ランサムウェア)も流行しており、ハッカーやウイルスに対する危険性の認識を一層強く持つべきでしょう。

どんなことに注意すべきか

危険な兆候は?

情報処理推進機構による注意喚起を見ると、次のような要求や状況があった場合に、危険な兆候があるといえます。

  • 「さきほどは間違った添付ファイルを送ってしまったので、今回添付している請求書を使用してください」という要求
  • 「事情があって通常の振込口座は利用できないので、今回は別の口座に振り込んでほしい」という要求
  • 「迅速な対処をお願いします」という要求
  • 「緊急の案件なので、周囲には秘密にしてください」という要求
  • メールアドレスの表示や返信先がいつもとは異なっている
  • CCのメールアドレスも一見正しいように見えて、いつもと異なっている

どのように対応すべきか

情報処理推進機構は、ビジネスメール詐欺への対策として、次の点をあげています。

  1. 送金前のチェックの強化(振込先の変更依頼は、電話・FAXでも再確認する)
  2. 普段とはどこか様子が異なるメールに注意
  3. 基本的なウイルス・不正アクセス対策
  4. 電子署名の付与

事例を見る限りは、送金前のチェックを強化することで、大半の被害を防げると考えられます。

普段の連絡先とは異なるメールアドレスだったり、通常のルールとは異なる処理を求められた場合において、セキュリティの確保として二重チェックをルールづけることも必要でしょう。

この他にも、「無料のメールアドレスは使わず、独自に取得したドメインのものを利用すること」や、「電話で確認する場合においても、メールに記載されたものではなく、あらかじめ知っている番号にかけること」などが注意喚起されています。

まとめ

企業をターゲットにしたビジネスメール詐欺の危険性について、情報処理推進機構の注意喚起をもとに紹介しました。

ビジネスメール詐欺においては、個人をターゲットにした詐欺のように「現金の手渡し」はありえません。犯人が考えるのは、いかに偽の口座に振り込ませるかという用意周到な手口です。

振り込む場合の処理において、普段と異なるパターンでは、二重チェックを設ける対策が必要でしょう。

とくに海外と関わる企業は、そのリスクが増大します。情報処理推進機構の注意喚起を一読し、会議の議題として話し合うようにしましょう。

サイト【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(情報処理推進機構)