上司から「至急対応してください」という見出しのメール。本文には「○○社の○○さんからのたっての依頼で、海外の提携先企業と緊急でプロジェクトを始めることになりました。1600万円の業務委託料をこの口座に振り込んでください。申し訳ないですが急ぎで」とあった。

 ○○社は得意先で○○さんのこともよく知っている。指定された振込先口座がいつもと違うが、急ぎとのことだったので振り込み手続きをした。ところがそのメールは偽のもので依頼は詐欺だった。

 こんな事件が2015年頃から急増している。ビジネスメール詐欺(BEC:Business E-mail Compromise)と言われるこの犯罪は、攻撃者が取引先や自社の経営幹部を装って電子メールを現場の担当者などに送り、攻撃者の口座に入金を促し、資金をかすめ取る。

 相手が個人ではなく企業であるだけに、攻撃者としてはうまくやれば1回で多額の資金を奪える。米連邦捜査局(FBI)によればビジネスメール詐欺は2013年頃から確認されており、2018年5月までの損失額は合計125億ドル(約1兆4000億円)。詐欺の平均被害額は1件当たり約1780万円になる。

 日本国内でも高額な被害が確認されている。2017年12月には日本航空(JAL)がビジネスメール詐欺の被害に遭い、合計約3億8000万円が奪われたと公表した。

 ビジネスメール詐欺の手順は次のようになる。まずウイルスメールなどを社員に送りつけ、企業のサーバーに侵入するためのルートを確保する。業務メールを盗み見て、過去にやり取りされたメールの本文や契約書を手に入れる。

 メールや契約書を参考にして本物であるかのようなメールを作成し、それを担当者に送って攻撃者が用意した口座への入金を促す。取引先とやり取りしている間に割り込んで偽の口座に振り込ませる、弁護士や顧問など社外の権威者になりすます、といったケースもある。詐欺の準備のために、同じ手順で従業員情報を盗む場合もある。

 このような詐欺が横行する背景には、電子メールに依存して仕事をするようになったことがある。日々行き交う電子メールは業務上の指示や依頼として認知されており、受け取った社員は疑いもなく偽の指示を実行してしまう。電話であれば声の違いで詐欺だと気付くことが多いが文章ではそうはいかない。

 ビジネスメール詐欺を見抜く手がかりの一つは電子メールのアドレスだ。例えば経営幹部になりすます場合、実在の本人がメールを確認して犯罪が発覚するタイミングを遅らせるため、似たつづりの別のメールアドレスを用意する。

 例えば、攻撃対象としている会社のドメインが「@kaisya.co.jp」だったとしたら、攻撃者は「@kaisyaa.co.jp」(aが一つ多い)のように、よく似ており誤認されやすいドメインを取得する。

 その上で、なりすます人物、例えば経営者の「@」前のメールアドレスが「taro.suzuki」であれば同じように設定し、経営者になりすまして財務担当者などにメールを送る。

 情報セキュリティ分野の情報収集と発信を手がけるIPA(情報処理推進機構)セキュリティセンターは「ビジネスメール詐欺という事件が発生していると知ること自体が大切」と助言する。その上で通常と異なる依頼が来た場合、依頼者本人に電話で確認をとる、または社内の第三者に確認を依頼する、といったことを徹底する。併せてコンピュータウイルス対策などの基本的な対策も促す。