BEC

BECとは？

BEC (ビジネスメール詐欺) とは、組織の役員や経営者、あるいは取引先などを装って従業員に偽装メールを送りつけ、金銭や情報等を窃取するサイバー犯罪です。

近年増加しているサイバー攻撃のひとつ「標的型攻撃」と似ていますが、以下のように、最終的な“目的”に違いがあります。

• 標的型攻撃…マルウェアが仕込まれたメールを送りつけてマルウェアを実行させ、“機密情報を窃取”する。
• BEC…盗み取った情報から不正送金させ、“金銭を窃取”する。

なお、BECでは、内部の者が情報を流し、その情報を悪用して行われるケースもあります。

BECの流れ（手口）

BECは、以下のような流れで行われるのが一般的です。

1. 情報収集…フィッシングサイトを用いてアカウント情報を盗む、インターネットで公開されている企業情報等から人間関係を把握するなど、ターゲットの情報を収集します。
2. 送信用のメールアドレスを入手…ターゲットの上司や役員、経営者のメールアドレスに似せたフリーメールアドレスやローカルメールアドレスを用意します。また近年は、窃取したメールアカウントを乗っ取るケースもあります。
3. 経営者や取引先などになりすまして偽装メールを送信…上司や役員、経営者、顧問弁護士・税理士などになりすまして偽装メールを送りつけ、不正な送金を指示します。あるいは取引先になりすまし、架空の請求書などをメールで送りつけて不正送金をさせます。

BECへの主な対策

BECの被害から組織を守るためには、以下に挙げるような対策が有効です。

• 従業員へのサイバーセキュリティ教育を徹底する
• 取引先の振込先口座が変更になった場合は書類での通知を義務づけるなど、送金実施のチェック体制を見直す
• 有効なセキュリティソフトを導入し、常に最新バージョンを維持する
• 推測されづらいID・パスワードを設定するなど、メールアカウントを保護する
• 送信されたメールが正規サーバーから送られているか判定できる「DMARC認証」を導入する。また、書類が改ざんされていないことを証明できる「電子署名」を導入する。
• 内通者を発見しやすいよう、アクセスログの管理・アクセス制限を実施する