日本企業が被害に遭いやすいのは、犯罪者が海外の取引先になりすます手口だ。振込口座の変更やフリーメールの日常利用といった商習慣の違い、英語でのやり取り、会計システムの違い、振込に関するガバナンスの違いなどが、「まさか」の事態を誘発する。

ビジネスメール詐欺の典型的な手口
ビジネスメール詐欺の典型的な手口
実行まで用意周到に準備する
[画像のクリックで拡大表示]

 犯罪者は担当者同士がメールで商談を進めている間、不正アクセスしたメールシステムでやり取りを盗み見る。ビジネスメール詐欺を分析するある国内企業のIT担当者は「1カ月以上は観察することが多い」と指摘する。観察と並行して攻撃対象のメールアドレスと見た目が似ている詐欺用のメールアドレスを用意する。

 商談の大詰め、請求段階に入ったところで犯罪者は詐欺用のメールアドレスを使い、取引先になりすましたメールを送る。「監査中なので通常とは違う口座になる」「トラブルのためメーン銀行で入金を受けられない」といったもっともらしい理由をつけて犯罪者の口座を指定してくる。

 請求書のPDFを偽装するのでサインももちろん本物と一緒で、口座情報のみを精巧に書き換えるケースがあるという。「アドレスや請求書の偽装は後からよく見れば分かるもの。だが、商談の流れに絶妙なタイミングで入り込んでくるので、気付けというほうが難しい」(冒頭の企業のIT担当者)。

 CxO型の手口では、「極秘のM&A(合併・買収)案件だから社内でも口外するな」「これから詰めの会議なのでしばらく電話に出られない」といった理由をつけて振り込みを指示してくる。機密性が高い案件だと思わせて口止めし、発覚を免れようとするのだ。

 英語圏が中心だったビジネスメール詐欺だが、トレンドマイクロの染谷氏は「米国で流行したサイバー犯罪が日本で流行するまでの期間がどんどん短くなっている」と指摘する。ある国内企業には2017年になって日本語のCxO型メールが届いた。