BEC(Business Email Compromise)というサイバー犯罪の手口が、昨年から少しずつ話題になりはじめ、FBIからも再三に渡って注意喚起が出されておりまして、先日とうとう合計の被害額が31億ドルを超えたそうです。

Business E-mail Compromise: The 3.1 Billion Dollar Scam
Internet Crime Complaint Center (IC3) | Business E-mail Compromise: The 3.1 Billion Dollar Scam より

日本ではビジネスメール詐欺と呼ばれていますが、その手口を簡単に紹介します。

犯人は社長(または経理担当者や取引先など)になりすまし、従業員にメールを送ります。
今出先なんだけど、この前話してた業務提携の件で至急この口座に300万円送金してくれ!

普通こんなメールを受け取ったら即スパムフォルダ行きでしょう。
ところが、もし実際に提携話が存在しており、この従業員が社長から、
今度の出張で提携先候補と契約金500万円前後で交渉する。終わり次第結果を連絡する。
というメールを事前に受け取っていたとしたらどうでしょう?

犯人はあらかじめマルウェアやフィッシングなどを利用し、社長のメールボックスを盗み見ていますので、事前の会話内容を把握しタイムリーな話題を使うことが可能なんです。

数週間後には、
従:社長、この前の契約金の領収書が来ないんですが・・
社:契約金?何の?
従:えっ?
社:えっ?
となりそうですが、犯人はメールボックスの監視を続け、なりすましで適当にお茶を濁しながらマネーロンダリングのための時間を稼ぎます。

Stalling
犯人がお茶濁しメールを作成している様子

抄訳
被害者:今日銀行に確認しましたが、まだ入金されていませんでした。再度銀行に確認しますので、送金に使った銀行コードを教えてください。

犯人:ご機嫌いかがですか?健やかにお過ごしのことと思います。
ご参考までにお伝えしておくと、こちらは先日まで休暇をいただいておりまして、本日より業務に復帰したところです。送金に関しては情報をいただけると幸いです。

相手がいくらタイムリーな話題や二人だけの秘密を知っているからといって、信用してはいけません。
社長以外にも、取引ベンダーや経理担当、弁護士などになりすますパターンもありますが、
典型的な手口として、外出先や緊急事態を理由にしてフリーメールで連絡が来ることが多いです。そこで気づければよいのですが、それよりも基本的な対応として、「振込先の変更」や「新規の振込先」などをメールで指示されたとしても必ず電話でも確認する、ということをおすすめします。

今のところはまだ英語での詐欺が主流ですので、海外とのやりとりが多い企業の方は特に要注意です。