高まるサプライチェーン攻撃のリスク、なりすましメール対策で対処を

実は、フィッシングメールやビジネスメール詐欺、メールアカウント侵害といったメール詐欺による被害額は想像以上に甚大です。報道ではランサムウェアによる被害が目立ち、もちろん業務停止など影響は軽視できるものではありませんが、メール詐欺が直接もたらす被害は、FBIの調査によると年間約3360億円に上るほど大きくなっています（出典：FBIInternet Crime Report 2021）。

例えば海外では、プエルトリコ政府がBECの被害に遭い約40億円に上る金銭的被害を受けたケースがあります。また日本でも、大手新聞の海外子会社、自動車関連企業の海外子会社などで数十億円規模の被害が発生しました。

こうしたフィッシングメールやメール詐欺では、直接的に多額の金銭を詐取するだけでなく、認証に用いるクレデンシャル情報まで盗み取られることもあります。こうして盗み取られた認証情報は、より価値の高い情報を手に入れるため、ネットワーク侵害など別の攻撃やメール詐欺に芋づる式に悪用されていきます。
2023年、ビジネスメール詐欺の増加率が最も高かったのは日本

では、なぜ私たちはこうしたメールに引っかかってしまうのでしょうか。

ビジネスサプライチェーンの信頼を悪用するメール詐欺では、悪意ある添付ファイルやURLを用いないものも少なくありません。このため、既存のメールフィルタリングやウイルス対策ソフトをすり抜けてしまうことがあります。AIや機械学習技術の進展によって改善は期待できますが、やはり最後の防波堤はユーザーのリテラシーとなるでしょう。

しかし詐欺メールは、本来のやりとりをコピーしてもっともらしい文面を記してします。その上、送信元もなりすましされていることが多く、いくら注意を払ったとしても「絶対にだまされないようにする」のは不可能です。

プルーフポイントの調査「State of the Phish 2024」によると、2022年と比較して2023年にビジネスメール詐欺の増加率が最も高かったのは日本でした。以下、韓国、アラブ首長国連邦（UAE）が続いており、これまで言語バリアで守られていた国における、ビジネスメール詐欺の増加が目立ちます。生成AIの登場により、攻撃者が言語の壁を越えて、ビジネスメール詐欺を働くことが可能になったことが背景にあるといえるでしょう。

●
攻撃の糸口となるなりすましメールを見破る有効な対策「DMARC」と「BIMI」