ビジネスにおけるコミュニケーション手段は多様化しているが、今も最重要のポジションにあるのがメールである。

そのため、メール経由で実行されるサイバー攻撃は多く、「標的型攻撃の約95％はメールがきっかけ」といわれている。そして近年、メールを使った新たな攻撃手法として脅威が増しているのが、ビジネスメール詐欺（Business Email Compromise：BEC）である。

ビジネスメール詐欺は、経営幹部や取引先などのふりをして、送金や機密情報の提供などを促すメールを送り付け、金銭や情報をだまし取る。企業の公開情報を基になりすまして複数の企業に攻撃を仕掛けるケースと、メールのやり取りを盗み見て社内情報や取引先情報などを事前に把握した上で高度になりすますケースの2通りがある（図表1）。

差出人には正規のドメインに類似のものが使われていたり、件名や本文に「緊急」「重要」といった緊急性の高さを匂わせる文言が用いられるなど、人間の心理的な隙や行動のミスにつけ込む「ソーシャルエンジニアリング」の手法を駆使した手口を特徴とする。

図表1　ビジネスメール詐欺の例

FBI（米連邦捜査局）によると、ビジネスメール詐欺は2013年10月～2018年5月の約5年間に世界中で7万8617件発生し、被害総額は125億3694万8299ドル（約1兆4000億円）に上った。このうち2017年1月～2018年5月の月平均被害額は470億円、1件あたりの平均被害額は2090万円と高額化する傾向にある。1件あたりの被害金額が数万～数十万円のランサムウェアと違い、「当たればリターンの大きい」攻撃手法といえる。

国内では2017年12月、日本航空が取引先を装った攻撃者に約3億8000万円を詐取される事件が発生して大きな注目を浴びた。ただ当時のビジネスメール詐欺は一般的に英文メールだったため、海外に拠点や取引先の多い企業が狙われやすいとされてきた。

ところが2018年7月、IPA（独立行政法人情報処理推進機構）によって日本語の詐欺メールが初めて確認され、海外との取引がない企業においても被害に遭う可能性が高まっている。トレンドマイクロの「ビジネスメール詐欺に関する実態調査2018」によれば、約4割の国内企業が金銭や特定の情報を騙し取ることを目的にしたメールを受信したことがある。今や規模や業種を問わず、あらゆる企業がビジネスメール詐欺のターゲットとなりうるといっても過言ではないだろう。

悪質・巧妙な手法を使い、高額な被害をもたらすビジネスメール詐欺をどのように防げばいいのだろうか。