AI技術の発展で再注目されるBECについて

公開日：2023.06.15｜

更新日：2023.07.26｜

サイバー攻撃対策

各所におけるレポートでは、2022年においてBECが活発になっていることが観測され、AI技術の発展も相まって再注目されているサイバー攻撃となっています。

BECとは

Business Email Compromiseの頭文字をとったもので、日本語ではビジネスメール詐欺と呼称されています。その他、かしこまった場では「BEC（ビーイーシー）」や「BEC scam(ビーイーシースキャム)」と呼ばれていたり、フランクに「ベック」と呼ぶこともあったりするようです。本稿では、BECと統一します。

BECは古くから存在するサイバー攻撃の一つであり、2015年にFBIが発信したレポートをきっかけに世界中で広く認知されるようになりました。

日本では2017年からIPA（情報処理推進機構）や警察、トレンドマイクロなどから注意喚起が始まり、IPAが発信する「情報セキュリティ10大脅威」^*1では、2018年から現在（2023年）にかけて6年連続でランクインしています。そのため、BECについては既にご存知である方も多いかと思います。

BECについては、ランクインする前年の2017年から被害が大きく見られるようになり、注目度が高まりました。

BECランク推移_IPA10大脅威

BECとはそもそも何なのか？については各所で説明されていますが、FBIは以下のように説明^*2しています。

“ビジネス電子メール侵害 (BEC) は、電子メールアカウント侵害 (EAC) とも呼ばれ、オンライン犯罪の中で最も金銭的被害が大きいものの 1 つです。これは、私たちの多くが個人的にも仕事上も電子メールに依存してビジネスを行っているという事実を利用したものです
出典：FBI「Business Email Compromise」^*2引用（機械翻訳）”

つまり、BECとはビジネスに関わる従業員や役員をターゲットとするメールによるフィッシング詐欺の一種であり、ECサイトや銀行の利用者を狙ったものよりも高いリターンを得られることも特徴的です。

BECの手口

BECにおいて詐欺師はビジネス上の関係者になりすまし、金銭の奪取を狙います。

なりすまし例：

製品販売や不動産、M&Aなどの取引先
IPAが公開する事例集（https://www.ipa.go.jp/security/bec/bec_cases.html）では、海外企業とのやり取りをしている担当者への詐欺行為が多く見受けられます。
英語でのやり取りのため、なりすまされていることに気付きにくいです。
経営者や役員など。
立場の強さを悪用します。

なりすましのために電子メールを用いるのですが、メールアドレス上のなりすまし方にもいくつかのパターンがあります。

1. 正規のメールアドレスを少しだけ変更し、一見すると正規のメールアドレスであると誤認させます。

見た目で判断を難しくさせるうえに、詐欺メールをメールソフトで開いた時には本人の名前やメールアドレスを表示させるため、多重的に判断を難しくさせます。

このようななりすましに対しては、送信ドメイン認証のDMARCを導入することが有効であり、日本でも徐々に導入が進んでいるようです。

2. メールアカウント乗っ取りによるなりすまし

メールセキュリティを回避する、詐欺の成功率を上げるなどのために、CEOや取引先のメールアカウントを乗っ取るような手口も確認されています。

メールアカウントを乗っ取るために、最も有力であるのがフィッシング詐欺です。このフィッシング詐欺ではマイクロソフトやグーグルを騙るフィッシングサイトや、情報搾取マルウェアの配布などによってメールアカウントの認証情報を不正に取得します。

メールアカウントを乗っ取ると、取引先とのやり取りの履歴を収集し、やり取り自体もリアルタイムに監視します。これにより、詐欺師は口座への送金を指示する詐欺メールを最適なタイミングで送信することができ、受信者は疑問を抱くことなく詐欺師の口座へと送金をしてしまいます。

この手法ではメールアカウント自体は本人のものであることから、システム/人間による判断が難しくなるため、騙される可能性が格段に上がります。

一方、メール以外にも、電話によってなりすます手法も確認されています。

FBIが2022年に受けた通報^*3の中には、正規（既知）の電話番号が、なりすましに使われていたケースもあったことが調査によって判明したそうです。

どのようにしてなりすまし、被害者を誘導したかまでは明かされていませんが、電話番号の表示名を変更するサービスの悪用や、SIMスワッピングなどといった手法によるものではないかと予想されます。

従来のBECの対策として、取引先に直接電話をして確認を取ることが常套手段でしたが、この対策を逆手に取った手法のように見えます。信頼している電話番号で会話をすると、当然正当な相手であると認識するため、なりすましに気付くことは困難です。

また、詐欺師は詐欺を成功させるためのシチュエーションを作り出します。

例えば、メールの件名や本文に「urgent（緊急）」や「Important(重要)」、「ASAP、soon（すぐに）」などの単語を使うことで、受信者を焦らせます。さらに、偽の弁護士も用意することで信ぴょう性を高めたり、機密性が高いことや信頼関係をちらつかせたりすることで関係者に相談させにくくします。

このように、従来の防御策を回避するような手法も現れています。

2022年のBECによる被害

FBIから被害報告統計

FBIが発表した2022年のBECの被害額の統計^*3では、被害報告数が2021年時と比べ増加（19,954件　→　21,832件）し、被害額は約2.7億ドル（日本円で約356億円）にも上り、2020年および2021年を上回る被害額となっています。

このBECによる被害額の増加は、2022年で報告された被害額が一番多かった”投資詐欺（被害額約3.3億ドル）”に次ぐものであったことから、非常に深刻な問題となっています。

SecureWorks社による調査結果

SecureWorks社での2021年6月から1年間における脅威分析レポート^*4では、2022年上半期の時点で、確認されたBECは前年と比べ27%増加していることが判明しています。FBIの統計データの結果と併せると、BECによる被害は確かに増加しています。

日本での被害

IPAから公開されている日本の事例^*5では海外の取引先になりすますケースが多かったですが、2022年には国内企業の社長になりすましたBECも報告されています。幸いにも、詐欺メールの受信者は詐欺師とのやり取りが不審であると感じたことで、被害を回避しています。このBECで象徴的なのは、“買収”や“早急”などのキーワードの使用や、実在する弁護士の名前を記載するなどBEC特有の手口を使用しているうえに、日本語で完結したやり取りとなっていることです。

日本語によるBEC自体は以前から確認されているものの、日本語としては不自然なものでした。しかし、昨今は自然な日本語によるばらまき型のフィッシングメールも増えていることから、日本語によるBECも今後はより自然になることが予想されます。

AIの発展によるBECの進化

詐欺師はBECの成功率を高めるために、AI技術を活用することが予測されています。

一般ユーザを狙うフィッシング詐欺においては、ChatGPTで詐欺メールの文面が作成可能であると、研究者から警鐘が鳴らされています*6。

ChatGPTを始めとしたAI技術はどのように悪用されるのでしょうか？ここでは例を2つ挙げます。

テキスト生成型AI

ChatGPTを始めとした善意のもとに提供されているテキスト生成型AIでは、フィッシングメールやBECといった文面の作成を依頼してもコンテンツフィルター機能により基本的に生成ができないようになっています。

しかし、プロンプト次第ではこれを回避することも可能です。

プロンプトを工夫してChatGPTにメール作成依頼をしてみると、次のように自然な日本語での詐欺メールが生成されました。

キーワードとして「緊急」「迅速」「機密性」などがちりばめられているあたりに、BECっぽさを感じます。

（下図は適当に生成したメール文だったのですが、実在する会社名が生成されたためモザイクを掛けています）。

一方、違和感のある自己紹介であったり、冗長気味な文章であったりする箇所には機械っぽさがありますが、これはプロンプト次第で調整可能です。

また、対話型AIでもあるため、被害者からの返信に対するさらなる返信を生成する、といったこともできます。

このように、テキスト生成型AIの登場により日本を対象とした詐欺メールの作成へのハードルが下がります。日本語だから攻撃をされない、被害を受けにくいといったロジックも崩れつつあるため、注意しましょう。

ディープフェイク

ディープフェイクは複数の画像（メディア）からディープラーニングによって合成画像を生成する手法です。映像や音声にも適応することでエンタメコンテンツ等に活用されています。しかし、技術の特性ゆえに、政治家のメッセージの偽造や有名人のフェイク動画の拡散による印象操作にも悪用でき、日本でもディープフェイクを用いた違法動画コンテンツの販売により摘発された事例^*7もあります。

詐欺メールの受信者が、メールに対して不審に感じた場合、取引先やCEOなどに電話をして確認を取るでしょう。このとき、応答した相手の声がディープフェイクによって生成されたものだった場合、本人だと誤認してしまいより騙されやすくなります。

ディープフェイクにおける声の学習データはWeb上から集めることができます。特にCEOの場合はPR動画や自社製品紹介をYouTube上で発信していたり、日本であればコーポレートサイト上やYouTube、IR用のサイトなどで決算説明を行っていたりします。このような動画はBECを行う詐欺師にとっては有用な学習データとなり、CEOになりすます詐欺行為に悪用できます。

このように、AI技術がBECに悪用されることは容易に想像でき、不審だと気付くことが困難になっていくでしょう。

BECへの対策

BECへの対策についてはIPAやFBI、Europolなどから発信されており、そちらが参考になります。

システム面での防御

DMARCを導入し、なりすましドメインによるメールをリジェクトする。
メールセキュリティやマルウェア防御ソリューションなどにより、情報搾取型マルウェアによるメールアカウントの搾取を防止する。
メールアカウントに2要素認証を導入する

仕組みによる抑止

電信送金のプロセスを徹底し、緊急時においても所定のプロセスに則って運用する。
電信送金を行う際には複数人でのチェック体制を徹底する。
不審なメールを適切に報告ができる体制づくりをする。

当事者の意識向上

BECという詐欺行為があることを個々が知り、リスクを認知する。
フィッシングメールに注意する（フィッシングサイトに認証情報を入力しない、不審なメールの添付ファイルを不用意に開かない、など）。
日々受け取るメールの送信元や送信先などに注意する
緊急対応を促すような送金の要求であっても焦らず、当事者や上司などに相談するように心がける
取引先へメール以外の方法で直接確認することなどを心がける。なお、確認時には、詐欺メールに記載されている電話番号などは参照しないようにする。

以上がBECに対して心がけたい事項となりますが、AI技術の悪用によりBECが巧妙化することで不審さを感じづらくなります。そのため、AI技術によりBECがどのように進化するのか、どのような手口が現れるのかを観測し、自然な日本語によるメールや電話であっても慎重に対応することがさらに求められるようになってくるでしょう。

攻撃テクニックはどんどん増えるため、知ることが不可欠

マルウェア/ランサムウェアの進化と同じように、BECでも複数の技術を組み合わせることでテクニックが進化しています。本記事でご紹介した電話番号のなりすましやAI技術の他にも、SIMスワップや悪性Botなども使って、詐欺師はBECの成功率の向上を試みるでしょう。

このようなBECを含めたAI技術の悪用を防ぐため、コンテンツが生成型AIによって生成されたものであるかをチェックする技術も研究・開発され、被害を抑制することが期待されます。しかし、このような技術開発が成熟するのを犯罪者は待ちません。そのため、まずはBECに対する認識と意識を向上し、企業活動の保護につなげることが直近の課題となります。