ビジネスメール詐欺は、いまやあらゆる企業や組織にとって見過ごせない脅威の1つです。経営幹部や取引先などになりすました業務依頼メールを発端として、金銭や機密情報をだまし取られる被害が相次いでいます。従業員一人ひとりがビジネスメール詐欺の手口を知り、5つの対策を実践しましょう。

ビジネスメール詐欺（Business Email Compromise、BEC）が、企業や組織に深刻な被害を及ぼしています。ビジネスメール詐欺とは、業務メールの盗み見を発端として、経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るサイバー犯罪です。

米国連邦捜査局（FBI）による2018年7月の発表では、2013年10月から2018年5月における全世界でのビジネスメール詐欺の被害件数は7万8,617件、累積被害額は125億3,694万8,299米ドル（2018年9月26日のレート換算で約1兆4,147億円）に上りました。これまでに公表された情報をもとにトレンドマイクロで算出した結果*、2013年10月から12月までの全世界における月平均被害額が約150億円であったのに対し、2017年1月から2018年5月までの平均は約470億円にも上っています。さらに、1件当たりの平均被害額も約1,460万円から、約2,090万円とより高額になっています。
*：FBIの公開情報をもとに、トレンドマイクロで独自に整理

トレンドマイクロが2018年6月に調査を行った結果、回答者の39.4％が金銭や特定の情報をだまし取ろうとするなりすましメールを受信した経験があることがわかりました。うち、送金を依頼するメールの受信者の割合は62.3％、個人情報や機密情報などの送付を促すメールの受信者の割合は51.5％でした。ビジネスメール詐欺は一般に、なりすましメールによる送金詐欺として知られていますが、特定の情報を盗み出すことも目的としています。そして、送金被害額が分かっているケースの大半において1,000万円以上であるとの回答も得ており、このことからも一度被害を受けると企業や組織への打撃が非常に大きなものになると言えます。ビジネスメール詐欺について詳しく見ていきましょう。

ビジネスメール詐欺にはさまざまな手口がありますが、共通するのはサイバー犯罪者が信ぴょう性を高めるなりすましメールを仕立てるため、業務メールの盗み見やネット上の公開情報を基に、標的組織で進行している取引や人間関係などを把握することです。業務メールを盗み見る手口は大きく分けて2つあります。

1つ目はフィッシング詐欺です。たとえば、業務メールにクラウドサービスを利用する組織を標的とするサイバー犯罪者は、システム担当者などのフリをして業務メールシステムへの再ログインを呼びかけるメールを従業員に送りつけ、そこから偽のログインページへ誘導します。そこでアカウント情報を入力すると、サイバー犯罪者によって認証情報が盗まれてしまいます。

2つ目の手口は、キーロガーと呼ばれる不正プログラムの悪用です。キーロガーは、キーボードで入力された情報を外部に送信します。キーロガーに感染させるには、たとえば「緊急案件」を件名とする不正ファイルを添付した偽メールを送りつけ、そのファイルを開封してしまった従業員のパソコンにキーロガーを送り込みます。これにより収集した入力情報を解析することで、業務メールのアカウント情報を割り出すことも可能です。

こうして業務メールを盗み見ることに成功したサイバー犯罪者は、もっともらしいなりすましメールを作成、送信し、標的の従業員を巧みにだまします。最近のビジネスメール詐欺は、「経営幹部になりすます攻撃」と「取引先になりすます攻撃」の大きく2つのタイプに分けられます。それぞれについて見ていきましょう。

最高経営責任者（CEO）や経営幹部になりすました送金指示メールを標的組織の経理担当者などに送りつけ、サイバー犯罪者が用意した口座へ送金させる手口が確認されています。このタイプはビジネスメール詐欺の中でも「CEO詐欺」と呼ばれており、「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけてきます。

実際に、国内企業のCEOを詐称する日本語メールが確認されており、「機密扱いで相談したい」などと呼びかけるメールが法人組織の経理担当者宛に送付されていました。この事案では、「jp-fsa.com」のドメイン（@以降の文字列）からメールを送信して金融庁を偽装したり、CEOと弁護士が過去にやり取りしたとする英語の文面を貼り付けたりし、本物のメールに見せかけようとしています。また、実際の送信元メールアドレスから受信者の注意を逸らすため、受信トレイ上の送信者のメールアドレスを表す差出人情報を“CEOの氏名”＜SAMPLE@sample.co.jp＞などと見出しのように表示していました。

取引先を装って偽の請求書を添付したメール、振込先の変更を依頼するメールを標的組織の従業員に送りつけ、サイバー犯罪者の管理下にある口座に送金させる手口が確認されています。やっかいなのは、標的組織と取引先とのメールのやり取りを盗み見てどのような取引が進行しているかを把握し、振り込みが発生するタイミングでなりすましメールを送りつけてくることです。過去にやり取りされた文面をコピーして署名以下のスペースに貼り付け、正規のメールに見せかける細工も確認されています。

ビジネスメール詐欺は企業や組織の規模、地域、業種を問わない脅威です。すべての企業や組織がその脅威にさらされているということを自覚しましょう。そして、この犯罪は標的の従業員をだませるかどうかにかかっているため、どの従業員が、いつ狙われるかわかりません。このため、従業員一人ひとりがビジネスメール詐欺の手口を知り、勤務先や取引先を危険にさらさないよう、脅威から回避する行動を日々心がける必要があります。以下の5つのビジネスメール詐欺対策を紹介します。

2018年上半期は、フィッシング詐欺や仮想通貨を狙うサイバー攻撃、ビジネスメール詐欺が猛威を振るいました。家庭のルータを狙う新たな脅威も出現しています。2018年上半期を振り返り、いま、私たちが知っておくべきネットの脅威と対策をおさらいしましょう。

フィッシング詐欺の勢いは一向に衰える気配がありません。これは、実在する通販サイトや銀行、クレジットカード会社、各種インターネットサービスなどの正規のログインページを装った偽サイト（フィッシングサイト）へ誘導し、そこで入力させた個人情報やクレジットカード情報、認証情報などを盗み出す手口です。トレンドマイクロの調査では、2018年上半期（1月～6月）に国内からフィッシングサイトへ誘導された利用者数が約290万に上り、これは前期(2017年7月～12月)と比較して2.7倍にあたり、過去最多を記録しました。

また、このフィッシング詐欺では、クレジットカード情報や、複数のインターネットサービスを利用できる共通のアカウント（例：Amazonアカウント、Microsoftアカウントなど）の認証情報が狙われやすい傾向にあることも明らかになりました。

実際に、著名なインターネットサービスの事業者を名乗って「アラート:あなたのアカウントは閉鎖されます。」などと呼びかけるフィッシングメールが確認されています。メール内のURLリンクを開いてしまうと、このサイトの本物のログインページに似せたフィッシングサイトへ誘い込まれ、そこでIDやパスワードを入力すると、認証情報を盗み取られてしまいます。「アカウントの異常な操作を検出しました。」などの文言で受信者の不安をあおり、メールの真偽を判断する心理的な余裕を与えないなど、フィッシングメールの内容は非常に巧妙です。

法人を狙ったフィッシング詐欺にも警戒が必要です。業務メールにクラウドサービスを利用する法人がメールアカウント情報をだまし取られ、メール内容を盗み見られたり、窃取したメールアカウントを使って迷惑メールをばらまかれたりした事案は2018年4月から6月までに9件公表されています。

法人を狙うフィッシング詐欺では、経営幹部や人事担当者のフリをして業務メールシステムへの再ログインを呼びかけるメールを従業員に送りつけ、そこから偽のログインページへ誘導する手口が確認されています。そのほかにも、従業員にメールを返信させることで必要な情報をだまし取るシンプルな手口にも注意が必要です。

業務メールアカウント情報の詐取は、企業に多大な損失をもたらしているビジネスメール詐欺（Business Email Compromise、BEC）の準備段階として行われる可能性があります。ビジネスメール詐欺とは、業務メールの盗み見を発端として、経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るサイバー犯罪の総称です。

ビジネスメール詐欺の特徴の1つは、サイバー犯罪者が標的の企業や組織を十分に調査して詐欺に利用できる情報や弱点を特定することです。たとえば、業務メールにクラウドサービスを利用する企業や組織を標的とするサイバー犯罪者は、何らかの方法で従業員からメールアカウント情報を盗み出し、メールの内容を盗み見します。その上で信ぴょう性が見た目上は高い業務に関わるメールを仕立て、従業員や取引先を巧みにだまします。

2018年上半期は、Bitcoin（ビットコイン）などの仮想通貨を不正に得ようとするサイバー攻撃も相次ぎました。2017年から流行しているのは、他人のパソコンなどで勝手にマイニング（仮想通貨発掘）を行う不正マイニングです。マイニングとは、コンピュータの処理能力を使って仮想通貨を得る仕組みのことで、これ自体は不正なものではありません。

しかし、これに目をつけたサイバー犯罪者は、他人のパソコンなどへ不正にコインマイナー（仮想通貨発掘ツール）を仕込むことで端末の処理能力や電力などを盗用し、仮想通貨を得ようとしています。2018年上半期に国内で確認されたコインマイナーの検出台数は、2017年下半期の約1.3倍にあたる約41万件に達しました。パソコン以外にも、スマホ、WebカメラなどのIoT機器を乗っ取り、勝手にマイニングを実行する不正行為も横行しています。さらに、企業内ネットワークも攻撃者による不正マイニングからの脅威にさらされています。

ユーザが所持する仮想通貨を直接奪い取るサイバー攻撃も拡大傾向にあります。たとえば、実在する仮想通貨取引所を名乗って「アカウントの侵害から保護するため預かっている資金を凍結した」などと呼びかけるフィッシングメールを送りつけ、受信者にパスワードのリセットを求める手口が確認されました。メール内のURLリンクを開くと偽の仮想通貨取引所サイトのログインページに誘導され、そこで入力したメールアドレスやパスワード、二段階認証コードなどを盗み取られてしまいます。

そのほかの手口では、Facebook Messenger経由で不正なChrome 拡張機能の「FacexWorm（フェイスエックスワーム）」を追加させ、仮想通貨取引所サイトの認証情報を盗み出したり、仮想通貨の取引処理を乗っ取る手口も確認されました。

パソコンやスマホ、IoT機器がインターネットの出入り口として経由するルータを狙うサイバー攻撃も続いています。たとえば、ルータの脆弱性（セキュリティ上の欠陥）を攻撃することでルータの設定を書き換える手口が確認されています。万一、ルータのDNS設定を書き換えられた場合、ルータと接続しているパソコンやスマホからインターネットに接続した際に、ルータ上で行き先を変更され、気づかないうちに不正サイトへ誘い込まれてしまう恐れがあります。トレンドマイクロの調査では、DNS 設定が書き換えられてしまったルータに接続している端末を、不正サイトへ誘導してAndroid 向け不正アプリをダウンロードさせる手口を確認しました。

サイバー犯罪者はセキュリティ上の欠陥や不備を突いてルータを侵害し、さまざまな不正活動を行います。ルータのセキュリティ設定を見直しておきましょう。

情報窃取を目的にした標的型サイバー攻撃の勢いは一向に衰える気配を見せません。この攻撃では、企業や組織のネットワークに侵入するために従業員の行動の隙を突いてきます。その手口を押さえ、勤務先を危険にさらさないよう5つの対策を実践しましょう。

標的型サイバー攻撃は現在も継続しています。これは、企業や組織が保有する個人情報や技術情報、機密情報を盗み出すことを目的に行われる一連のサイバー攻撃を指しています。

この攻撃の多くは、企業や組織に属する従業員のパソコンに遠隔操作ツール（RAT：Remote Administration Tool）と呼ばれる不正プログラムを感染させ、標的組織のネットワークに侵入することから始まります。RATはサイバー犯罪者からの命令を受けてネットワーク内を探索し、目的の情報を盗み出します。

警察庁の発表によると、標的のネットワークへの侵入口となる標的型メールは近年増加傾向にあります。

また、トレンドマイクロが2017年に行った調査では、ネットワーク監視対象の企業や組織の約7割が標的型サイバー攻撃にさらされた疑いがあることもわかりました。そのうちの約4割では、実際にRAT本体の検出やRATからの不正な通信の発生が認められています。この結果から、多くの企業や組織が標的型サイバー攻撃にさらされているにも関わらず、それに気づいていない実態がうかがえます。

標的型サイバー攻撃の多くは、メールが起点になります。企業や組織の従業員にメールを送りつけ、それに添付した不正なファイルを開かせることで遠隔操作ツール（RAT）に感染させ、標的のネットワークに侵入します。

サイバー犯罪者は、従業員にメールの添付ファイルを開かせるためにさまざまな工夫を凝らします。その1つが、実在する部署や人物、取引先などを装って通常の業務メールに見せかけることです。受信者に不信感を抱かせぬよう、もっともらしい件名や本文、署名を記述し、議事録や内部資料などに見せかけた添付ファイルを開かせようとします。

また、外部からの問い合わせを装うメールを送りつけ、受信者が添付ファイルを開かざるを得ない状況に持ち込むこともあります。トレンドマイクロによる調査では、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと本文に記載し、添付ファイルを開かせようとする標的型メールを確認しました。

標的型メールでは、Gmail やYahoo!メールなどの無料で取得できるフリーメールが使用されるケースも多く、受信者が攻撃を察知できるポイントの 1つになっています。ただ、送信元のフリーメールアドレスから受信者の注意をそらす手法は巧妙です。たとえば、受信トレイ上の送信者のメールアドレスを表す 差出人情報に、“送信者名”＜SAMPLE@sample.co.jp＞などと見出しのように表示するテクニックがあります。また、フリーメールを使用していてもそれほど違和感のないフリーランスの仕事関係者や就職活動中の学生などを装うことで受信者の油断を誘うこともあるため注意が必要です。

標的型サイバー攻撃は、企業や組織の規模、業種、地域を問わない脅威です。サイバー犯罪者にとって標的とするか否かの判断基準は、盗み出した情報から利益を得られるかどうかです。サイバー犯罪者が企業や組織にまず侵入するにあたっては、従業員一人一人が誰かは関係ないのです。自分は狙われるような情報を扱っていない、狙われるはずはないと過信をせずに、従業員一人ひとりの心がけが重要です。企業や組織を標的型サイバー攻撃から守るために従業員が行うべき5つの対策を紹介します。

Windowsの脆弱性（ぜいじゃくせい）を放置していませんか？脆弱性は、プログラムの不具合や設計ミスが原因で生じるセキュリティ上の欠陥です。Windowsなどのソフトに脆弱性はつきものであり、ハッカーによるサイバー攻撃やセキュリティ専門家の調査によって初めてその存在が明らかになることも珍しくありません。

Windowsの脆弱性が存在するパソコンにはどのようなリスクがあるでしょうか。Windowsの脆弱性を悪用する攻撃はさまざまです。たとえば、脆弱性が存在するパソコンは、外部からの不正操作や情報漏えいなどの危険にさらされやすくなってしまいます。また、いつも利用している正規のWebサイトを閲覧しただけでいつの間にか脆弱性攻撃サイトへ転送され、ウイルスに感染してしまう危険性もあるのです。

では、Windowsの脆弱性を解消するためにはどうすればよいでしょうか。Windowsの開発元であるMicrosoft社は脆弱性を発見すると、それらを修正する更新プログラムを作成し、無償で提供します。ユーザはこれを適用し、脆弱性を解消することで脆弱性攻撃によるウイルス感染を防ぐことができます。

Windows 10では、Windows Updateの自動更新があらかじめ有効になっており、パソコンがネットに接続されていると自動で更新プログラムがダウンロード、インストールされます。ただし、Windows Updateは何らかの理由で失敗してしまうこともあることを肝に銘じておかなくてはなりません。Windows 10を搭載するパソコンに最新の更新プログラムが適用されているかどうかを定期的に確認する習慣をつけましょう。

新たに手に入れたスマホを安全に使い続けるためには、最初のセキュリティ設定が肝心です。アカウント乗っ取り対策や、盗難、紛失対策、SNSやアプリの情報漏えい対策などは必須です。スマホを安全に利用するために、セキュリティで注意すべきポイントを確認しましょう。

iPhoneやAndroid端末などのスマホは、いまや日常生活において欠かすことのできないアイテムの1つです。読者の中には「便利なアプリを使いたい」などの理由で従来の携帯電話からスマホへの切り替えや、新機種の発売に合わせたスマホの買い替えを検討している方もいるのではないでしょうか。スマホの利用開始時、絶対に見過ごせないのがセキュリティです。今回は、スマホを安全に利用するために、最初に確認したいセキュリティ設定を紹介します。

スマホ初回起動時の初期設定では、Apple ID（iPhoneの場合）やGoogleアカウント（Android端末の場合）の登録を求められます。Apple IDやGoogleアカウントは、AppleとGoogleそれぞれが提供する各種サービスを利用するために必要なIDとパスワードです。

すでにApple IDやGoogleアカウントをお持ちの方は、そのアカウントを使用することもできます。ここでは安全なパスワードを設定してください。たとえば、すでにご利用のSNSやオンラインストレージなどのサービスと同一のパスワードを使い回したり、単純な文字列のパスワードを使用したりすると、第三者にアカウントを乗っ取られるリスクが高まります。Apple IDやGoogleアカウントに限らず、ネット上のサービスのアカウント登録では、「すでに利用中のサービスとは異なるパスワードを設定すること」、「第三者に推測されにくい複雑なパスワードを使用すること」が重要です。

常に持ち歩くスマホは、盗難や紛失に遭いやすいものです。このため、スマホには必ず画面ロックをかけておきましょう。これは、一定時間触れずにいると自動で画面をロックしてくれるスマホの機能です。ロックを解除するためには、あらかじめ登録したパスワードや暗証番号を入力しなければならないため、第三者にスマホを不正操作されにくくなります。画面ロックの設定では、第三者に推測されにくいパスワードや暗証番号を必ず登録しましょう。

万が一紛失したり盗難の被害にあった場合に備えて、GPS（位置情報サービス）を使ってスマホの現在地を追跡できるようにしておきましょう。「位置情報サービス」と「端末を探す」を有効にしておけば、端末の位置を特定したり、遠隔から端末をロックしたり、端末内のデータを消去したりすることができます。

スマホを手に入れたら、FacebookやInstagram、LINEなどのSNSを利用して友人や知人とのコミュニケーションを楽しみたいものです。SNSは手軽に情報共有したりコミュニケーションできることが魅力ですが、それゆえに個人情報やプライバシー情報を不用意に公開してしまいがちです。もし、それらの情報が意図しない相手や見ず知らずの人の目に触れてしまうと、ストーカーや脅迫などのトラブルを招いてしまうかもしれません。そこで必ず確認したいのは、SNSごとに用意されているプライバシー設定です。だれに見せるべき情報かを踏まえてそれぞれのSNSで適切なプライバシー設定を行い、プロフィールや投稿の公開範囲をコントロールしましょう。

iPhone やAndroid 6.0以上の機種では、インストール済みのアプリに許可する権限を個別に制御できます。「位置情報へのアクセス」や「連絡先の読み取り」など、アプリが求める権限にはさまざまな種類があり、各アプリは与えられた権限の範囲内で動作します。アプリごとに適切な権限管理を行い、アプリを介して位置情報や連絡先情報を意図せず漏らしてしまうリスクを軽減しましょう。
※アプリの動作に必要な権限を拒否すると、アプリ本来の機能が失われることがあります。

パソコンと同様、スマホにもセキュリティアプリをインストールし、常に最新の状態に保ちましょう。新たにインストールするアプリの危険度を事前に教えてくれたり、不正アプリを拡散する不正サイトや詐欺サイトへのアクセスを遮断したりしてくれます。セキュリティアプリの中には、紛失したスマホの場所を特定したり、遠隔ロックや遠隔データ消去したりする機能を持つものもあります。また、お子さんに渡すスマホにはペアレンタルコントロールを適用し、有害なWebサイトやアプリに近づけないよう制限をかけておきましょう。ペアレンタルコントロールを利用すれば、Webサイトの閲覧やアプリの使用、アプリのインストールを制限したり、ネットやアプリの1日の利用時間や利用可能時間帯を指定したりすることができます。

これらはスマホを安全に利用するために最初に確認すべきセキュリティ設定の一部です。トレンドマイクロが公開するセキュリティ学習資料も併せてご覧ください。

スマホの買い替えや、携帯電話からスマホへの切り替えなどで、スマホを新しくしたらまずは初期設定を行う必要があります。スマホの設定時にセキュリティで注意すべきことを見ておきましょう。

これらはスマホのセットアップ時に行うべきセキュリティ設定の一部です。セキュリティ学習資料も併せて確認し、スマホを安全に利用しましょう。