ビジネスメールの詐欺とは？手口と被害に遭った場合の対処法も紹介

ビジネスメール詐欺とは

ビジネスメール詐欺とは、経営者や上司、取引先を装った偽のメールを送信して金銭を詐取しようとする手口です。たとえば悪意のある第三者が企業の上司になりすまし、請求書の振込先を変更するよう指示するというケースがあります。実際には詐欺師が指定する口座へ送金してしまい、被害に気づいた時点で金銭の回収が困難な状況に陥ることが多くあります。

近年、このような詐欺は増加傾向にあり、企業に大きな被害を与えるケースが増えています。特に海外の口座を指定された場合、送金後の資金回収が極めて困難になることが多いのが現状です。

画像引用：IPA「ビジネスメール詐欺（BEC）の特徴と対策（https://www.ipa.go.jp/security/bec/hjuojm0000003cce-att/000102392.pdf）補足：表中の「J-CSIP」とは、日本国内の企業間でサイバー脅威情報を共有し、対策を強化する取り組みのこと。「J-CSIP内」とはこの取り組みに参加している組織、「J-CSIP外」とは参加していない組織を指す。表中の「タイプ1」は取引先との請求書の偽装の件数、「タイプ2」は経営者等へのなりすまし件数を表す。

ビジネスメール詐欺の手口

ビジネスメールを用いた詐欺は、主に以下のような手口が用いられています。

• 請求書の偽装
• 経営者のなりすまし
• 従業員のメールアカウントの悪用
• 弁護士や法律事務所などの第三者へのなりすまし
• 詐欺の準備行為とされる情報入手

請求書の偽装

悪意のある第三者が巧妙に取引先を装って偽の請求書を企業に送付し、偽の口座に送金させるという手口です。「振込先の口座を変更しました」といった内容のメールを送り、受け手に違和感を与えないよう注意深く作成されています。

特に海外の企業と取引している企業が標的にされやすく、言語の違いや時差を利用することで、取引先に確認するのが難しい状況を意図的に作り出す狙いがあります。

経営者のなりすまし

主に企業の財務担当者や経理部門など、資金管理を担当する部署を狙う手口です。犯罪者は企業の経営者や幹部になりすまし、「緊急に送金が必要なので振り込んでほしい」といった状況を装って、指定した口座に金銭を振り込むよう指示します。

特に経営者と直接の接点が少ない社員が対応する場合や、社内での情報共有が不十分な状況では、騙されるリスクが高まります。

従業員のメールアカウントの悪用

悪意のある第三者が従業員のメールアカウントの情報を不正に入手し、そのアカウントを悪用する手口があります。不正にログインされたメールアカウントを使って取引先に偽の請求書を送信し、指定した口座に振り込むよう誘導します。

正規のメールアドレスから送信されているため、取引先は詐欺であると疑いにくく、結果的に振り込んでしまうケースが多発しています。

弁護士や法律事務所などの第三者へのなりすまし

弁護士や法律事務所など、信頼性が高いとされる第三者になりすまして送金などを促す手口もあります。犯罪者は企業に関係する弁護士や法律事務所の人物になりすまし、緊急かつ機密性の高い案件があると偽って企業の経営者などにメールを送ります。

たとえば、「重要な契約の支払いが急ぎで必要」といった内容で、指定の口座に多額の資金を送金させるよう仕向けることがあります。弁護士や法律事務所という権威を利用するため、被害者は疑いを持たずに指示に従ってしまい、結果として多額の損失が発生することになります。

詐欺の準備行為とされる情報収集

詐欺の準備行為として行われる情報収集は、本格的な詐欺行為を成功させるために重要な役割を果たします。悪意のある第三者は企業の経営者や人事担当者になりすまし、社内の従業員や顧客情報、取引先の情報などを収集します。

集めた情報は不正送金や詐欺行為に悪用されることが多く、さらに犯罪者が別のサーバーに情報を保管し、ほかの犯罪行為に利用することで被害が拡大するケースも想定されます。

ビジネスメール詐欺の被害に遭った場合の対処法

詐欺の被害に遭ってしまった場合、迅速かつ適切な対応が求められます。これから紹介する対処法を行うことで被害の拡大を防ぎやすくなるため、ぜひ参考にしてください。

警察に通報する

詐欺被害に遭った場合、警察への通報は最も優先すべき重要な対応です。被害に気づいたら、できるだけ早く最寄りの警察署に出向き、被害届を提出しましょう。

被害届を提出する際には詐欺の手口や被害額、相手とのやりとりの詳細など、可能な限り具体的な情報を提供することが重要です。これらの情報をもとに警察は捜査を開始し、同様の手口で発生したほかの事件との関連性も調査します。

被害状況を証明できる証拠を保存する

被害状況を証明するためには、証拠を保存することが求められます。まず、被害に至った経緯を時系列に整理し、具体的な状況を記録しておきましょう。加えて、被害に関連したメール、送金履歴、関連書類なども漏れなく保管することが必要です。

デジタルデータはバックアップを取り、紙の書類は安全な場所に保管するなど、証拠が削除される・処分されるといったことがないよう注意が必要です。証拠を整理しておくことで、後の対応もスムーズに進めることができるでしょう。

被害を受けた関係機関に連絡する

被害を受けた関係機関への連絡も重要な対応です。まず、被害口座の金融機関やクレジットカード会社などに連絡し、一連の経緯を説明しましょう。次に取引先企業にも連絡を取り、同様の被害が発生していないか確認することも大切です。

また、IPA（独立行政法人情報処理推進機構）に相談することで、適切な対処法や再発防止策についてアドバイスを受けることができます。専門家の助言を得ることで、より効果的な対応が可能になり、被害の拡大を防ぎやすくなります。

IPAの相談窓口

ビジネスメール詐欺の被害を防ぐ方法

ビジネスメール詐欺の被害を防ぐには、日頃から適切に対策しておくことが重要です。ここでは、具体的な予防策について紹介します。

メール以外の方法で確認する

メールで振込の依頼があった場合には、メール以外の連絡手段を活用して二重に確認を行うことが効果的です。普段とは異なるタイミングや異なる口座への入金依頼があった場合、メールだけで判断せず、電話確認を行うなどの別の方法でも依頼者に確認しましょう。この対策は社内だけでなく、取引先との金銭のやりとりの際にも適用することをおすすめします。

ウイルス感染を防ぐ

ビジネスメール詐欺を防ぐためには、PCやスマホへのウイルス感染の対策も重要です。従業員には定期的にOSやアプリのアップデートを実施してもらい、最新のセキュリティ対策を保つようにしましょう。また、外部からウイルス攻撃されないよう、企業のWi-Fiセキュリティの強化を行うことも不可欠です。

ウイルス対策ソフトやセキュリティ対策アプリなどを活用し、ウイルスの脅威に備える必要があります。