ビジネスメール詐欺（Business E-mail Compromise：BEC）は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃である。2021 年も経営者になりすました手口が引き続き確認されている。

ビジネスメール詐欺の方法

● 取引先との請求書の偽装

● 経営者等へのなりすまし

● 窃取メールアカウントの悪用

● 社外の権威ある第三者へのなりすまし

被害例１

サイバー情報共有イニシアティブ（J-CSIP）が公表したレポートによると、2021 年 8 月、J-CSIP 参加組織の海外関連企業の担当者が同社役員を騙ったビジネス詐欺メールを受信した。

メールは「機密性の高い金融取引を個人的に依頼したい」という簡素な内容で、実在する弁護士事務所の弁護士へ連絡を取ってほしいというものであった。

差出人（From）の表示名には会社役員の名前とメールアドレスが設定されていたが、実際にはフリーメールアドレスから送られていた。

また、同報先（CC）には、弁護士のメールアドレスを騙った偽のメールアドレスが設定されており、弁護士が同報されているように見せかけていた。

被害例２

トレンドマイクロによると、継続的に実施しているビジネスメール詐欺（BEC）の脅威動向監視において、2021 年 1～9 月にかけて検出数が増加しており、8 月に大幅な増加が見られたとしている。

過去数年のビジネスメール詐欺の手口は、攻撃者が経営幹部等になりすました詐欺メールであったが、2021 年は、一般社員になりすました詐欺メールを確認している。

対策

● ガバナンスが機能する業務フローの構築

● メールに依存しない業務フローの構築

● メールに電子署名を付与（S/MIME や PGP）