相変わらず、毎週のようにサイバー攻撃による被害が報告されている。攻撃を受ける側の企業や組織もただ手をこまぬいているわけではないが、防衛が追いつかない状態だ。そしてここにきて、また新たなサイバー攻撃の脅威が注目を集めている。「ビジネスメール詐欺」である。「Business E-mail Compromise」を略して「BEC(ベック)」と呼ばれる。筆者は初めてビジネスメール詐欺という言葉を聞いたとき、「標的型攻撃メール」の話か、と思って聞き流しそうになった。しかしさにあらず。
新たな攻撃といっても、ビジネスメール詐欺の存在自体は、特段新しいというわけではない。米連邦捜査局(FBI)によると、2013年10月ごろから確認されている。2013年10月から2016年6月までに、米インターネット犯罪苦情センターに報告されたビジネスメール詐欺の被害件数は世界79カ国で2万2143件、被害総額は約31億ドル(約3400億円)に及ぶという。米国をはじめ、海外では既に膨大な被害が発生しているのだ。
最近、約28億円という巨額の不正資金をマネーロンダリング目的で日本に送金したとして、ナイジェリア人や日本人計14人が逮捕されるという事件が報道された。この不正資金は「ビジネスメール詐欺」などの被害金という。
日本ではまだ少ないが、ビジネスメール詐欺の攻撃事例や被害が既に出ていて、注意喚起もなされている。情報処理推進機構(IPA)は2017年4月3日、「ビジネスメール詐欺『BEC』に関する事例と注意喚起」と題した文書を公開。攻撃の手口や攻撃事例、対策などを紹介し、注意を呼びかけた。
2016年11月から12月にかけて米国とシンガポールでビジネスメール詐欺を含むユーザーのセキュリティ実態調査を実施したNRIセキュアテクノロジーズの山本直実氏(コンサルティング事業本部 ストラテジーコンサルティング部 セキュリティコンサルタント)は、「海外で流行し、被害が急増している。日本でも攻撃や被害の増加が予測される」と警鐘を鳴らす。
同社の調査によると、過去1年間に偽の送金指示メールや金銭の詐取を目的としたメールが社員に届いた企業の割合は、米国で75.2%、シンガポールで65.6%。そのうち、実際に金銭被害に遭った企業の割合は、米国で60.6%、シンガポールで37.5%に達している。
被害企業の半数が10万ドル以上支払う
ビジネスメール詐欺の目的は、近年日本でも攻撃や被害が急増している「ランサムウエア」と同じく、企業や組織からの金銭詐取。ただし攻撃手法の違いから、1件当たりの被害額はビジネスメール詐欺のほうが大きくなりやすい。
ランサムウエアは、企業のパソコンなどに感染すると、保存されているファイルを暗号化して使えないようにし、復号したければ金銭、いわば“身代金”を支払うように指示するウイルスだ。被害者が「このくらいなら」とやむなく支払う身代金額に設定しており、法外な金額は要求しない場合が多い。