取引先や経営者になりすましたメールで送金などをだまし取る詐欺。
ビジネスメール詐欺(BEC)とは、取引先や自社の経営者になりすましたメールで担当者をだまし、攻撃者の口座へ送金させるなどして金銭をだまし取る詐欺のことです。BEC は「Business E-mail Compromise」の略です。
身近な例で考えると、社長になりすました偽の電話で「急いでこの口座に振り込んでくれ」と指示される、いわゆる「振り込め詐欺」の会社版です。相手が偉い人や大事な取引先に見えるほど、断りにくくなります。
狙われるのは主に送金を扱う経理担当者です。技術的にシステムを破るのではなく、人をだまして自分から送金させる点が特徴で、被害額が大きくなりやすい詐欺です。上の図解のように、なりすましメールから送金までが一連の流れになります。
BECで使われるなりすましには、主に次のパターンがあります。
・経営者へのなりすまし:社長やCEOを装い「至急この口座へ送金してほしい」と権威を使って急がせる
・取引先へのなりすまし:いつもの取引先を装い「振込先の口座が変わった」と偽の口座を伝える
・メールアカウントの乗っ取り:本物の関係者のアカウントを盗み、そこから本物のやり取りに割り込む
共通するのは、「急がせて冷静な確認をさせない」点です。「今日中に」「内密に」といった言葉で焦らせ、担当者が周囲に相談したり裏取りしたりする時間を奪います。
差出人のメールアドレスも、正規のものと一文字だけ違うよく似たドメインを使うなど、ぱっと見では気づきにくい工夫がされています。だからこそ、文面の信ぴょう性だけで本物と判断するのは危険です。
BECは人をだます詐欺なので、技術と業務ルールの両面で備えます。
・別経路で本人確認:送金や振込先変更の依頼は、メールに返信せず電話など別の手段で正規の相手に確認する
・複数人での承認:高額な送金には複数人の承認を必要とするルールを設け、1人の判断で送金できないようにする
・差出人・ドメインの確認:差出人アドレスやドメイン(=送信元の住所のこと)が正規のものか、よく似た偽物でないか確認する
とくに効果が大きいのが「お金が動く依頼は必ず別経路で裏取りする」というルールです。電話でひと言確認するだけで、なりすましメールの大半は通用しなくなります。
あわせて、多要素認証(=パスワードに加えてスマホの確認などを組み合わせる仕組み)でメールアカウントの乗っ取りを防ぐことも重要です。本物のアカウントが奪われると、なりすましがいっそう見抜きにくくなるためです。