日頃から多くのメールを送受信する企業がターゲットになる「ビジネスメール詐欺」が横行していることをご存じでしょうか。
独立行政法人 情報処理推進機構(IPA)も対策ページを設けて注意喚起を行っており、企業のセキュリティはより一層の強化が求められています。
そこで、本記事ではビジネスメール詐欺のよくある手口や、押さえておきたい対策方法を弁護士が解説します。
ぜひご一読ください。
参考:独立行政法人 情報処理推進機構「ビジネスメール詐欺(BEC)対策特設ページ」
\もしかしたら詐欺に遭ったかもしれない.../
ビジネスメール詐欺の4つの悪質な手口とは
ビジネスメール詐欺はBEC(Business Email Compromise)とも呼ばれており、企業をターゲットとしている詐欺です。
単なる迷惑メールではなく「自社の社長」や「取引先」を名乗る巧妙な手口で、大切な企業の資金を送金させようとしてきます。
本章ではビジネスメール詐欺について、4つの悪質な手口を解説します。
違和感が少ない文章なので思わず信じてしまうケースが少なくありません。
手口を学び、しっかりと対策を講じることが大切です。
1.社長や取引先などになりすまして送金を指示する
自社の社長などの経営層や、長年付き合いのある取引先の担当者を装ってメールを送ってくる手口です。
犯人は事前にLinkedInやSNS、標的型メールで組織図を調査しており、送金権限を持つ社員を把握した上でメールを送っています。
「極秘の買収案件が動いているからお金を送ってほしい」「取引の件が未入金です」といった、緊急性や秘密性を強調する文言が多用されます。
【関連記事】【注意】間違いメールを装った最新の詐欺手口|本物との見分け方・対策
2.請求書を偽装して送金させる
取引先とのメールに偽装し、実在する取引を装って偽の請求書を送りつける手口です。
「振込先口座が変更になった」「今回の取引はこちらの口座に送金してください」など、リアリティがある文面と共に、精巧に偽造されたPDFの請求書が添付されます。
過去の本物のメールを引用して返信の形で送られてくるため、一目見ただけでは偽物だと見抜くことが困難な手口です。
3.メールアドレスを偽装して送金させる
一見すると取引先企業や社長、特定の社員などのアドレスに見えるよう、巧妙な細工を施したメールアドレスから送信される手口も見受けられます。
本物のアドレスはco.jpにもかかわらず、偽物は.comに偽装しているなどのケースです。
注意深くアドレスをチェックする習慣がないと、騙されてしまいます。
送信者名(表示名)だけ実在する企業や本人の名前にし、実際のアドレスは全く別物だったとしても、スマホで確認すると表示が隠れていることもあるため、詐欺に引っかかってしまう事例もあります。
4.弁護士や専門家など権威のある人物になりすまして送金させる
「法務問題の解決」や「税務処理」などの名目で、弁護士や公認会計士といった専門家を名乗る人物から連絡が来る手口もあります。
社長からの指示を受けた代理人として登場し、「法的なトラブルを避けるために指定の口座へ預託金を入れてほしい」といった違和感が少ない言い回しで金銭を要求してきます。
弁護士や公認会計士のような社会的地位の高い肩書きを出すことで、メールを受け取った側に「専門家が言うなら間違いない」という安心感と緊張感を与え、冷静な判断を鈍らせるのです。
ビジネスメール詐欺を防ぐには?押さえておきたい5つの対策方法
ビジネスメール詐欺は巧妙化が進んでいるため、日頃から「詐欺は誰にでも起こる」という意識を企業自身が持つことが大切です。
そこで、本章では5つの対策方法を解説します。
セキュリティ・OSバージョンは常に最新にする
ウイルスソフトやOS(Windows/Mac等)の脆弱性を放置すると、詐欺グループ側からの不正なアクセスを許し、メールを盗み見られるリスクが高まります。
セキュリティやOSバージョンは常日頃から最新の状態を保ち、隙を作らないことが基本です。
ただし、更新作業が営業に支障があるなど対応に苦慮している場合は外部のIT専門家に保守を依頼し、強固なネットワーク環境を構築してもらうこともおすすめです。
社内で定期的に詐欺に関する講習や注意喚起を行う
「上司が注意していれば問題は起きない」「自分たちは狙われない」という油断は禁物です。
従業員全体が危機意識を持つためにも、定期的に詐欺に関する講習や注意喚起を行うことが望ましいでしょう。
最新の詐欺事例を講習や社内メールなどで共有し、従業員一人ひとりの意識(リテラシー)を向上させます。
IDやパスワードを使い回さない
社内のパスワードや従業員が使用するIDなどの大切な情報が漏洩すると、メールアカウントだけでなく他の業務システムまで芋づる式に乗っ取られるおそれがあります。
こうした重要な情報は使い回すのではなく、特定が難しいものを使用することが大切です。
多要素認証(MFA)の導入など、パスワードとは別の認証を追加するなどの対策も行い、なりすましログインを強力に防ぐことも検討しましょう。
メールセキュリティサービスを導入する
個人の注意だけでは防げないビジネスメール詐欺もあるため、企業全体にメールセキュリティサービスを導入することも検討しましょう。
メールセキュリティサービスとは、なりすましメールの検知や添付されたURL、添付ファイルのウイルスチェックなどを行うサービスです。
例として、送信元ドメインの認証(SPF/DKIM/DMARCなど)を自動で行い、正規のサーバー以外から送られてきた「なりすましメール」を隔離・警告します。
メール以外の方法で確認を取る
振込先変更などの重要な指示があった場合、届いたメールだけで判断してはいけません。
本当に実行してもよいか指示者本人に電話をかけて確認を行う、以前から使用しているメールへ折り返すなど、「本人」に確認するルールを徹底しましょう。
ビジネスメール詐欺に遭ったらどうする?5つの対処法とは
ビジネスメール詐欺に騙されてしまったら、まずは早急に対処することが大切です。
本章では詐欺後に取るべき5つの対処法を解説します。
送金先の金融機関に対して早急に取消依頼をする
送金直後に詐欺だとわかったら、すぐに自社の金融機関と、振込先の銀行へ連絡します。
受取人口座への入金が完了していない場合は、取消しができる場合があります。
既に受取人口座への入金が完了している場合や金融機関によっては、振り込み手続き後の取り消しができないため、組戻し手続きが必要です。
ただし、組戻しは受取人の同意が必要であるなどの条件があるため、詐欺の場合は返金が難しい可能性が高いでしょう。
口座の凍結を依頼する
振込先の口座の情報が手元に残っている場合、すぐにビジネスメール詐欺の送金先である旨を金融機関へ連絡し、凍結を依頼しましょう。
警察や銀行に連絡をすることで、「振り込め詐欺救済法」に基づいて被害額を回収できる可能性があります。
この仕組みは、振り込み先口座が犯罪利用口座として凍結されたあと、残高を被害者で分配する、というものです。
振り込め詐欺救済法の対象は個人・法人問いません。詳しくは以下の記事をご確認ください。
【関連記事】振り込め詐欺が再び増加中!手口や対策から相談先・救済法まで弁護士が解説!
社内に情報共有を行い警察に被害届を提出する
送金後に詐欺とわかっても、被害を社内で隠してしまうとさらなる二次被害を生む可能性があります。
まずは被害状況や詐欺グループ側の口座など、把握できている情報は速やかに社内に共有しましょう。
また、最寄りの警察署に被害届の提出も行います。企業を狙った悪質な詐欺であると届け出ましょう。
情報漏洩がないか早急に確認する
巧妙な手口のビジネスメール詐欺の場合、詐欺以前に社内の機密情報が漏洩している可能性があります。
なぜ自社がターゲットとなる詐欺メールが届いたのか、原因を突き止めるためにもしっかりと調査を行いましょう。
- ハッキング調査
メールサーバーが乗っ取られていないか、ウイルス(マルウェア)に感染していないか専門ツールの利用や専門業者へ調査依頼で確認しましょう。 - パスワード変更
調査と並行して、全社的なアカウントパスワードを早急に変更しましょう。
弁護士に相談し返金請求を行う
被害の発覚後、法的な手段で資金を取り戻すためには弁護士の力が不可欠です。
特に企業が狙われるビジネスメール詐欺は被害額が大きいケースが少なくありません。
返金請求を早急に行いたい場合は、金融機関や詐欺グループ側との複雑なやり取りを一手に引き受け、被害回復の可能性を高める弁護士への相談が重要です。
ビジネスメール詐欺はなぜ弁護士に相談すべき?
ビジネスメール詐欺では大切な企業の資金が奪われるだけでなく、企業の信頼にも影響を及ぼすため弁護士への相談が不可欠です。
そこで、本章ではビジネスメール詐欺を弁護士に相談すべき理由を解説します。
企業が自ら返金交渉を行うことは難しいため
犯人が特定できたとしても、企業が自ら返金交渉を行うことは大変危険です。
相手は詐欺のプロであり、個人や一企業が直接返金を求めても、無視されたり言いくるめられたりする可能性が高いでしょう。
弁護士が介入することで、法的な強制力をもった対応も可能になります。
二次被害に発展するおそれがあるため
詐欺に遭ったという事実は、「あの会社はセキュリティが甘い」と詐欺グループの間で情報が共有されるおそれがあります。
別の詐欺グループにも狙われるきっかけになり、二次被害が起きかねません。
弁護士のアドバイスのもと、適切な事後処理を行うことで、さらなる攻撃の隙を与えない体制を作ることが大切です。
取引先への対応方法なども相談できるため
企業が詐欺で損害を発生させた場合、情報を公開し、取引先にも説明をする必要が生じるおそれがあります。
取引先との関係を壊さないように、どのような文面で伝えるかなど、弁護士なら法務視点のアドバイスも可能です。
ビジネスメール詐欺に関するよくある質問
ビジネスメール詐欺は、AIの進化と共に文面も違和感が少ない日本語で作成されてきており、これまで以上に企業は防衛を意識する必要があります。
そこで、本章ではビジネスメール詐欺に関するよくある質問にお答えします。
ビジネスメール詐欺は開いても大丈夫ですか?
メールを開くだけで即座に送金されることはありませんが、情報漏洩が発生した結果、ビジネスメール詐欺が届いているおそれがあるため注意が必要です。
届いたとわかったらセキュリティ状態などを確認しましょう。
メールに添付されているURLやファイルは絶対に開かず、速やかに削除してください。
詐欺メールの見分け方は下記記事で詳しく解説しているので、ぜひ併せてご覧ください。
【関連記事】このメール詐欺かも?よくある手口や見分け方・対策を弁護士が解説!
ビジネスメール詐欺に別の名称はありますか?
ビジネスメール詐欺は、一般的にはBEC(Business Email Compromise)と呼ばれます。
また、社長やCEOを名乗って詐欺に誘導する「CEO詐欺」や、取引先の請求書を偽装している「偽請求書詐欺」などと呼ばれる場合もあります。
フィッシング詐欺とビジネスメール詐欺の違いは何ですか?
メールを悪用する詐欺には、フィッシング詐欺もあります。
ビジネスメール詐欺との違いは以下です。
- フィッシング詐欺
不特定多数の個人にメールやSMSを送りつけ、クレジットカード情報などを盗む「数打てば当たる」手法です。 - ビジネスメール詐欺
特定の企業や担当者を狙い、業務の流れを熟知した上で送金を指示する「会社に標的を絞った」手法です。
フィッシング詐欺については、下記記事で詳しく解説しているので、ぜひ併せてご覧ください。
【関連記事】フィッシング詐欺とは?実例と手口5選&絶対に守るべき対策7選
流行中の標的型メールについて教えてください
標的型メールとは、企業などから機密情報を盗もうとするものです。
最近では「Emotet(エモテット)」などのマルウェアを悪用し、実際のメールの返信を装って攻撃を仕掛けてくるタイプが流行しています。
これまでは違和感がある文面で詐欺と見抜けたものの、AIの進化によって違和感のない日本語を作成する手口も増えており、一見しただけでは詐欺と判別できないほど精巧になっています。
参考:独立行政法人 情報処理推進機構 「Emotet(エモテット)攻撃の手口」
ビジネスメール詐欺のお悩みは大地総合法律事務所へ
ビジネスメール詐欺は企業を狙った身近な詐欺の手口です。
ちょっとした隙を突き、送金を促す手口は年々巧妙化しています。
少しでも送金に違和感があったら、まずは弁護士に相談することがおすすめです。
大地総合法律事務所は、さまざまな種類の詐欺被害に対応してきた経験があります。
まずはお気軽にお問い合わせください。
弁護士法人大地総合法律事務所 代表弁護士
佐久間 大地
紛争は人と人との間で起こります。それは法人間の紛争であっても同じです。そして、人には感情があり、立場があります。
紛争解決、説得の1つのツールとして、法律という理屈を駆使することはもちろんですが、常に、人の感情、立場に配慮した業務を行うよう精進しております。
詐欺被害救済といえば「大地総合法律事務所」と認知していただけるよう、所員一同、プロフェッショナル集団として、常に研鑽を積んで参ります。