「ビジネスメール詐欺に関する実態調査 2018」を発表

~約4割がビジネスメール詐欺の攻撃を受けた経験あり~

2018年8月14日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン、東証一部:4704、以下、トレンドマイクロ)は、法人組織における情報セキュリティ・社内IT、経理に関する意思決定者・意思決定関与者1,030名を対象に、ビジネスメール詐欺に関する認知度や被害実態を明らかにする「ビジネスメール詐欺に関する実態調査 2018」を2018年6月に実施しました。本調査の調査結果は以下の通りです※1
※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。

 

■約4割が「ビジネスメール詐欺」の攻撃を受けた経験あり

ビジネスメール詐欺は、経営幹部や取引先などになりすまし金銭や特定の情報を騙し取るサイバー犯罪です。FBIの発表※2によると、2013年10月から2018年5月の約4年半で、全世界での累計被害件数は78,617件に上り、累計被害額は約125億米ドルと、近年世界的にも深刻な犯罪になっています。
今回トレンドマイクロが調査した結果、全体の39.4%にあたる406人が経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るメールの受信経験があることが分かりました(図1)。従業員規模別で見ても、ビジネスメール詐欺は中小企業を含め規模に関係なく様々な組織が直面しているサイバー犯罪であることが明らかになりました(図2)。
※2 FBIの発表はこちら

図1:経営幹部・取引先などになりすました「ビジネスメール詐欺」メールの受信経験割合
(N=1,030:単一回答)

 

図2:従業員規模別メール受信経験割合 (N=1,030:単一回答)

 

ビジネスメール詐欺の攻撃メールの受信者のうち62.3%(253人)が、送金口座の変更にともなう新しい口座への送金や、至急案件による送金を促す「送金依頼」のメールを受信したと回答しました(図3)。一方で、自身が勤める組織の幹部・従業員に関する個人情報や、業務提携先に関する情報、非公開の機密情報など「情報の送付依頼」のメールを受信したのは51.5%(209人)に上ることが明らかになりました。国内ではビジネスメール詐欺は金銭を騙し取るものといった認知が一般的な一方で、多くの国内法人組織が特定の情報入手を目的としたビジネスメール詐欺にも直面していることが分かりました。


図3:種類別メール受信割合(N=406:複数回答)

 

■送金依頼メール受信者の8.7%が送金被害を経験

送金依頼メールの受信者(253人)のうち、8.7%にあたる22人が騙されて実際に指定口座に送金※3したことが分かりました。22人を従業員規模別で調べたところ、22人中54.5%を占める12人が従業員1,000名以上の組織に属しており、セキュリティ対策や送金プロセスなどが比較的整備されていることが考えられる大企業でさえ、サイバー犯罪者の巧みなソーシャルエンジニアリング攻撃の被害に遭っていることが伺えます。
加えて、送金金額について送金経験者22人を調査したところ、約20%が1,000万~2,000万を送金したと回答しており、5,000万円未満が約半数を占めることが明らかになりました(図4)。一方で、1億円以上を送金したという回答者も9%を占めており、万が一騙された場合には、組織にとって事業継続を脅かす大きな損害に繋がるリスクがあると考えられます。
※3 送金した金額であり、何らかの理由により相手側に着金しておらず、実害には繋がっていない場合も含みます。

図4:送金依頼メールに起因した送金金額内訳(N=22:単一回答)
※複数回送金した場合には、最も高額だった際の金額を回答対象としています。

 

■技術的対策と組織的対策の両輪でビジネスメール詐欺から組織を守る

今回の調査では、送金依頼メールを受信したが、「セキュリティ対策製品によってなりすましメールに気づき送金をしなかった」と43.5%(110人)が回答しています(図5)。また、「受信者がなりすましメールであることに気づき送金しなかった」と62.1%(157人)が回答しています(図5)。
この結果からも、ビジネスメール詐欺に対しては、セキュリティ対策製品による対策とともに、攻撃手法に関する従業員への注意喚起や教育も重要かつ有効な対策であるといえます。さらに、「受信者が本人に確認し、なりすましが判明した」、「経理による送金プロセスの過程でなりすましに気づいた」という回答もあり、ビジネスメール詐欺のように人を巧妙な手口で騙すサイバー犯罪では、人的、組織的なチェック機能を重ねることで被害防止にもつながることが分かりました。

ビジネスメール詐欺の存在とその攻撃手法に関する従業員や経理担当者への周知、送金処理に関する承認・処理プロセスの徹底など、被害を未然に防ぐには、技術的対策と同時に組織的対策をあわせて徹底、強化することが重要です。

図5:送金を未然に防ぐことができた理由内訳(N=253:複数回答)

 

<調査概要>
■調査名:「ビジネスメール詐欺に関する実態調査 2018」
■調査実施期間:2018年6月22日~2018年6月26日
■回答者:日本在住で法人組織おいて情報セキュリティ・社内ITまたは経理の職域における 課長クラス以上の意思決定者・意思決定関与者      (計1,030人)
■回答者属性内訳:情報セキュリティ・社内IT責任者(515人)、経理責任者(515人)
         計1,030人
         ※民間企業および官公庁自治体を含む 
■調査方法:インターネット調査
 

※TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。