あなたは見破れるか？ビジネスメールに扮した「BEC詐欺」の手口

　「BEC詐欺」（ベック詐欺）という言葉をご存じでしょうか？ BEC詐欺とは偽のビジネスメールを送ることで、メールの受信者を騙してお金を騙し取る詐欺のことです。BECは「Business Email Compromise」（ビジネスメールの不正アクセス）の略称で、簡単にいえばメールを介した“振り込め詐欺”です。

　このBEC詐欺は、世界的に増加傾向にあります。IC3（米国インターネット犯罪苦情センター）が公表している、インターネットを経由した詐欺被害のデータによると、BEC詐欺の被害額は2021年の約24億ドル（約3,467億円）から、2023年は約29億ドル（約4,190億円）まで拡大しています。2023年の同調査における詐欺被害額の1位は投資詐欺（約45億ドル、約6,501億円）ですが、BEC詐欺はそれに次ぐ2位で、3位のサポート詐欺の約9億ドル（約1,341億ドル）を大きく上回っています。

　BEC詐欺の特徴としては、被害額が高額な割には、相談件数が比較的少ない点も挙げられます。先のIC3の調査データでは、詐欺被害の相談件数の1位はフィッシング詐欺の298,878件でしたが、BEC詐欺はその1/10となる21,489件で、全体では7位でした。

　つまりBEC詐欺は、発生頻度はそこまで多くはないものの、被害に遭った場合の金銭的なダメージが相当に大きいことが読み取れます。

2023年のアメリカにおける、インターネットを経由した詐欺被害の被害額データ
（米国インターネット犯罪苦情センター「IC3」の調査データより引用）

2023年のアメリカにおける、インターネットを経由した詐欺被害の被害件数データ
（米国インターネット犯罪苦情センター「IC3」の調査データより引用）

　一方で、日本におけるビジネスメール詐欺については、現在のところはそこまで件数は多くないようです。

　トレンドマイクロ社のレポートによると、同社のセキュリティソリューションが日本で取得したBEC詐欺メールの件数は、世界全体における検出数のわずか1%程度でした。この低い数値の背景には、BEC詐欺は英語圏における攻撃が大部分を占めているため、ビジネスシーンで日本語がメインで使用されている日本では、言語的な障壁によって被害も少ないことが予想されます。

　しかしながら、日本でBEC詐欺が発生していないというわけではありません。実際にはいくつかの企業において、億単位の被害が発生しているケースも存在します。

　2024年には日本のある医療製品メーカーが、取引先を装った複数のメールによる虚偽の支払い指示に応じ、取引先の銀行口座とは異なる口座に対して誤って代金を支払ったことを発表しました。同社はリリースにて、2億円の特別損失が生じる恐れがあることを発表しています。

　2022年には、国内大手企業の米国子会社が、同社の経営幹部を装う第三者による虚偽の指示に基づいて、約360万米ドル（約5億円）の資金を流出させる事態が発生したことを発表しました。

　2017年には国内航空メーカーが、同様に取引先を装ったメールに誘導され、約3.8億円の被害を受けたことが明らかになりました。

　「日本ではBEC詐欺の発生件数が少ない」と安心してはいけません。一度被害に遭えば、企業に億単位の被害をもたらす恐れがあるのがBEC詐欺なのです。

　BEC詐欺の被害から免れるためには、どうすれば良いのでしょうか？ IPA（独立行政法人 方法処理推進機構 セキュリティセンター）は、「ビジネスメール詐欺（BEC）の特徴と対策」という資料にて、BEC詐欺に見られる2つの“お決まりの手口”に注意すべきとしています。

　タイプ1の手口は、取引先との請求書を偽装するパターンです。BEC詐欺の攻撃者は、企業のメールのやりとりを、何らかの方法によって事前に盗み見て、取引や請求に 関する情報や、従業員や取引先のメールアドレスや氏名を入手していることがあり、これらのデータを用いて、支払う側の企業の担当者を騙し、攻撃者の口座へ送金をさせようとします。特に海外の企業と取引を行っている企業では、タイプ1の詐欺メールが確認されているといます。

　タイプ2の手口は、経営者や役員など幹部の人間になりすまし、攻撃者の用意した口座へ振り込みをさせるというものです。特に、企業内の財務・経理担当者が攻撃の対象となる傾向があり、メールの内容も「秘密の案件で相談がある」「相談したいことがあるので少し時間があるか」といった、幹部を装った文章が使われるといいます。日本語のBEC詐欺メールは、おおむねこのタイプ2に使用されるといいます。

　つまり、口座の変更や秘密の相談といった“お決まりの手口”のメールが届いた場合は、まずはBEC詐欺を疑うべきでしょう。

　BEC詐欺が疑われるメールは、詐称用のドメインを使用しているケースも多いといいます。たとえば正規のドメインから1文字違いであったり、「m」を「r」や「n」に変えるなど、誤認を招く文字を使用していることもあるようです。さらに、メールの差出人の欄に、正規のメールの差出人名やメールアドレスを表示することで、実際は偽のメールアドレスから送付されてきているにも関わらず、本物のように見せかける手口も出現しているといいます。

BEC詐欺が疑われるメールの送信元アドレスは、本物のアドレスと微妙に違っているケースが多い
（IPA「ビジネスメール詐欺（BEC）の特徴と対策」の資料より引用）

BEC詐欺が疑われるメールでは、表示名と実際に送信するメールアドレスが異なっていることもある
（IPA「ビジネスメール詐欺（BEC）の特徴と対策」の資料より引用）

　こうしたBEC詐欺メールが確認された場合、当然ながら返信をする必要はありません。しかし、詐欺メールを信じ込み、誤って送金した場合は、IPAでは送金に利用した銀行へ、早期に送金のキャンセルや組み戻しの手続きを依頼すべきとしています。加えて、警察や銀行へ調査を依頼するために、攻撃者から送られてきたメールを確保し、どのような経緯でメールが送られたのか、時系列を記録しておくことも重要としています。

　たとえ実被害が無かったとしても、BEC詐欺を受信したのであれば、メールの内容やメールアカウントの情報を窃取するウイルス感染や、メールサーバへの不正アクセスが発生している恐れもあります。IPAでは対策として、不審なメールの添付ファイルは開かないこと、セキュリティソフトを導入して最新の状態を維持すること、OSやアプリケーションの修正プログラムを適用するといった、基本的なウイルス対策が不可欠としています。

　今やメールはビジネスには欠かせないもののため、自社の従業員がBEC詐欺に引っかかってしまう可能性は十分に考えられます。BEC詐欺という手口が存在し、IPAの資料に記されているような見抜き方を社内で共有することが、BEC詐欺の被害から逃れる近道といえるでしょう。