トレンドマイクロ、「ビジネスメール詐欺に関する実態調査 2018」を発表
- 2018/08/21 11:00
- SecurityInsight
トレンドマイクロは8月14日、法人組織における情報セキュリティ・社内IT、経理に関する意思決定者・意思決定関与者1,030名を対象に6月に実施した、ビジネスメール詐欺に関する認知度や被害実態を明らかにする「ビジネスメール詐欺に関する実態調査 2018」の調査結果を発表した。その概要は以下のとおり。
●約4割が「ビジネスメール詐欺」の攻撃を受けた経験あり
全体の39.4%にあたる406人が、経営幹部や取引先などになりすまして金銭や特定の情報を騙し取るメールの受信経験があった。従業員規模別で見ても、ビジネスメール詐欺は中小企業を含め規模に関係なくさまざまな組織が直面しているサイバー犯罪であることが分かった。
ビジネスメール詐欺の攻撃メールの受信者のうち62.3%(253人)が、送金口座の変更にともなう新しい口座への送金や、至急案件による送金を促す「送金依頼」のメールを受信したと回答。一方で、自身が勤める組織の幹部・従業員に関する個人情報や、業務提携先に関する情報、非公開の機密情報など「情報の送付依頼」のメールを受信したのは51.5%(209人)に上った。国内ではビジネスメール詐欺は金銭を騙し取るものといった認知が一般的な一方で、多くの国内法人組織が特定の情報入手を目的としたビジネスメール詐欺にも直面していることが分かった。
●送金依頼メール受信者の8.7%が送金被害を経験
送金依頼メールの受信者(253人)のうち、8.7%にあたる22人が騙されて実際に指定口座に送金していた。22人を従業員規模別で調べたところ、22人中54.5%を占める12人が従業員1,000名以上の組織に属しており、セキュリティ対策や送金プロセスなどが比較的整備されていることが考えられる大企業でさえ、サイバー犯罪者の巧みなソーシャルエンジニアリング攻撃の被害に遭っていることがうかがえる。
送金金額について送金経験者22人を調査したところ、約20%が1,000万~2,000万を送金したと回答しており、5,000万円未満が約半数を占めた。一方で、1億円以上を送金したという回答者も9%を占めていた。
今回の調査では、送金依頼メールを受信したが、「セキュリティ対策製品によってなりすましメールに気づき送金をしなかった」と43.5%(110人)が回答。また、「受信者がなりすましメールであることに気づき送金しなかった」と62.1%(157人)が回答している。
この結果からも、ビジネスメール詐欺に対しては、セキュリティ対策製品による対策とともに、攻撃手法に関する従業員への注意喚起や教育も重要かつ有効な対策であるといえる。さらに、「受信者が本人に確認し、なりすましが判明した」「経理による送金プロセスの過程でなりすましに気づいた」という回答もあり、ビジネスメール詐欺のように人を巧妙な手口で騙すサイバー犯罪では、人的、組織的なチェック機能を重ねることで被害防止にもつながることが分かった。
ビジネスメール詐欺の存在とその攻撃手法に関する従業員や経理担当者への周知、送金処理に関する承認・処理プロセスの徹底など、被害を未然に防ぐには、技術的対策と同時に組織的対策をあわせて徹底、強化することが重要となる。