インターネットの登場で世界は大きく変わり、豊かになった。いまや社会のインフラになり、インターネットのない状況は考えられない。しかし、ネット空間は必ずしも「安心安全」ではない。
本連載では、サイバーセキュリティ企業のスプラウト代表取締役社長高野聖玄氏の著書『フェイクウェブ』から、その一部を4回にわたって紹介する。
リアル社会よりも巧妙で狡猾な罠が数多く仕掛けられているインターネットの世界に、私たちはどう立ち向かえばいいのだろうか。

はじまりは一通のメールから

フィッシング攻撃の手口を発展させたものとして、企業を標的にしたサイバー版の振り込め詐欺がある。実在する取引先や自社の経営者層などになりすました巧妙な偽メールを通じて、標的から金銭を窃取する手口から、「ビジネスメール詐欺(BEC:Business Email Compromise)」と呼称される。
ビジネスメール詐欺の代表的な手口は、外部との取引の窓口になっている担当者を標的に、「従来の取引に使っていた口座が、なんらかの不正取引に巻き込まれて凍結されてしまったので、新しい口座に至急振り込んで欲しい」などと偽りのメールを送りつけ、入金先の口座の変更依頼を行うといったものだ。
そのメールを送信してきた企業や相手の担当者の名前も実在し、メールの署名もいつもと変わらず、取引内容も実際に予定していたものとなれば、メールを送られてきた担当者は怪しむことなく入金先を変更してしまうかもしれない。
もし、多少怪しいなと感じたとしても、「本日中に入金されないと約束している商品を発送できなくなる」「期日が過ぎると契約自体を解除することになってしまう」など、担当者を焦らせるメールが次々に送られてくれば、果たして正常な判断ができるだろうか。
ビジネスメール詐欺は、サイバー空間における世界的な脅威のひとつでもある。
FBIが2‌0‌1‌8年7月に発表した資料によると、2‌0‌1‌3年10月から2‌0‌1‌8年5月までに、米ネット犯罪苦情センター(IC3)を含む複数の機関に報告されたビジネスメール詐欺の発生件数は7万8‌6‌1‌7件。被害総額は約1‌2‌5億米ドル(未遂を含む)に上り、1件あたりの平均被害額は約16万米ドルという。
不正送金先として使われるのは、中国と香港にあるアジアの銀行が多く、最近ではイギリスやメキシコ、トルコの銀行も増えているようだ。

矛先は日本企業にも

狙われているのは日本企業も同様だ。2017年には日本航空が取引先を装ったビジネスメール詐欺によって約3億8‌4‌0‌0万円を騙し取られるなど、国内でも被害が拡がってきている。日本航空が偽の送金先として指定された口座も、やはり香港のものであった。
IPA(情報処理推進機構)によると、ビジネスメール詐欺に関連した情報提供は、2‌0‌1‌5年11月から2‌0‌1‌8年7月までの約2年半で計17件あり、うち5件で実際の金銭的被害が確認されたという。
だが、この数字は氷山の一角に過ぎないだろう。筆者の経営するサイバーセキュリティ企業にも、ビジネスメール詐欺に遭ったという相談の問い合わせは、ここ一年だけで複数届いているから、実際の被害件数はもっと多いはずだ。

日本語メールでの攻撃事例も

警察や各サイバーセキュリティ関連機関も幾度となく注意喚起を出しているが、「自分が関わっている取り引き先が、偽装されている可能性があると認識している人は少ない」と対策に携わっている当局関係者は危惧する。
従来は日本航空の事例のように、海外の取引先などと英語のメールでやり取りしている日本企業が被害に遭いやすい傾向があった。
これは母国語でないメールの文章から、何か怪しいと担当者レベルで不正を察知することの難しさも一因だろうし、攻撃者側が日本語を駆使してこなかった事情もある。
だが、2‌0‌1‌8年7月に日本語のメールによる攻撃事例が初めて確認された。これによって、いまや攻撃者の標的は日本国内のあらゆる企業や組織に拡がったと言える。恐らくここ1~2年で、日本企業を標的にしたビジネスメール詐欺の被害が急増することになるだろう。たった一通のメールが、企業の存続を脅かす事態を引きおこしかねない。
※本連載は全4回続きます。
(バナーデザイン:大橋智子、写真:matejmo/iStock)
本記事は『フェイクウェブ』(高野聖玄、セキュリティ集団スプラウト〔著〕、文藝春秋)の転載である。
高野聖玄(たかの・せいげん)
株式会社スプラウト代表取締役社長。1980年生まれ、フリーのウェブエンジニア、ビジネス誌のオンライン事業立ち上げなどを経て、2012年にサイバーセキュリティ企業スプラウトを創業。共著にサイバー闇市場に迫った『闇(ダーク)ウェブ』(セキュリティ集団スプラウト著、文春新書)。