情報セキュリティの必要性_2

ビジネスメール詐欺の確率

こんにちは、おくさんです。
本日はどこの企業でもあるメールについて、攻撃のリスクを考えてみます。

メール経由での攻撃は多々あります。
しかし、実際に被害にあうまで行動できない人も多々います。

交通事故を起こして死んでから対処しても遅い
事故を起こす前に対応するための参考になればと思います。


忙しい人のための結論

全企業の2.1%(全国80000社以上)は、既にビジネスメール詐欺による金銭被害に遭っていると予想されます。

被害額は2000万円前後が約半数を占めています(50.2%)。
また、2割の企業は1億円以上の被害に遭っています。

メール経由での攻撃の例

メール経由での攻撃は数多くありますが、今回はビジネスメール詐欺についてです。

ビジネスメール詐欺(BEC)

巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送 金取り引きに関わる資金を詐取する等の金銭被害をもた らす攻撃である。攻撃の準備として、企業内の従業員 等の情報が狙われたり、情報を窃取するウイルスが使用 されたりすることもある。
(引用:情報セキュリティ白書2019)  

要するに、

・無差別でなくターゲットを絞り
事前に調査を行った上で
実際の取引と誤認するようなメールのやり取りで
・口座などにお金を振り込ませる

というもの。

考えてみていただきたい。

昨日までの取引先と同じメールアドレスから、
これまでと同じような文体で、

「今回の契約の振込先が変更になってしまったので、こちらの口座に変更してほしい。」

などと言われたとしたら。

そのまま振込手続きを行ってしまう人がいないとは、言い切れないのではないでしょうか。

国際的な被害

FBIの発表「Business E-mail Compromise The 12 Billion Dollar Scam」によると、(タイトル通りですが)ビジネスメール詐欺により4年7か月(2013年10月~2018年5月)の間に被害件数78,617件、総被害額120憶ドル(1兆2679憶円)というわけのわからない金額の被害が出ているといいます。

1件あたりの平均被害額は16万ドル(1690万円)。

それも苦情が報告された範囲だけでこれです。

ビジネスメール詐欺での被害件数は2016年ごろから、被害額は2017年ごろから爆発的に増加しています。

なお、FBIの調査ということもあってか、このうち60393件(76.8%)は米国内での被害です。

もちろん、これは「米国外では起きていない」ということを意味しません
日本でもばっちり発生しています。

国内での被害

国内での被害状況は、トレンドマイクロ社のレポート「ビジネスメール詐欺に関する実態調査 2018」に綺麗にまとめられいています。

レポートでは「送金金額不明」が36.5%を占めていますが、全体の把握には邪魔なので取り除きます。

すると、ざっくりと計算した平均被害額はなんと9556万円
小規模な企業なら一撃死もあり得る金額です。
(組織規模で被害額の差が大きすぎるので、あくまで参考値ですが。)

被害額は2000万円前後が約半数を占めています(50.2%)。
また、2割の企業は1億円以上の被害に遭っている計算です。

企業規模によって日頃行われる取引規模や送金規模は大きく変わるため、被害額も大きく変わります。
従って、大企業が引っかかると容易に億単位での被害が発生します。


発生確率

確立についても、トレンドマイクロ社のレポート「ビジネスメール詐欺に関する実態調査 2018」に綺麗にまとめられいています。
(もうこいつだけでいいんじゃないかな)

規模の大小をばらけさせた1000社の企業に対して調査を行った結果、

従業員数5000人超の大企業で47.6%
従業員数4999~50人の企業で40%
従業員数49人以下の企業で27.7%

平均で4割の企業が
「詐欺メールを送られてきたことがある」

詐欺メールのうち62.3%に、「送金口座の変更にともなう新しい口座への送金」や「至急案件」という名目で送金を促す内容が含まれており、

送金依頼を受け取った企業の8.7%は、実際に送信してしまっている。

ごちゃくごちゃしましたが、整理しますと

全企業の2.1%は、これまでにビジネスメール詐欺の金銭被害に遭っていると予想される。

2.1%ということは、50社集めたら1社は被害者。

もうちょっと具体的に

総務省統計局の「総合統計書」にある

7- 4 産業,従業者規模別民営事業所数と従業者数

を参考に、企業数を当てはめる。

従業員数:1~49
従業員数:50~299
従業員数:300~

すると、こうなります。

日本の企業540万ほどの内、
潜在的には既に80,000件以上の企業が被害に遭っている、と読めます。

ビジネスメール詐欺は2014年以降に急増した攻撃であり、5年間と考えても対象となった企業は非常に対象は多い。
今後も攻撃は増加すると推測されます。




この記事が気に入ったらサポートをしてみませんか?