＜なりすましメール被害の約40%が取引先・顧客より連絡を受けて被害発覚＞デジタルデータソリューションがなりすましメール被害に関する実態調査​を発表

• 調査実施の背景

独立行政法人情報処理推進機構（IPA）が選出した、2023年に発生した社会的に影響が大きかった情報セキュリティ事案「情報セキュリティ10大脅威 2024」では、「ビジネスメール詐欺による金銭被害」が8位にランクインする結果となりました(*1)。

警察庁が2023年12月に発表した注意喚起によると、フィッシング（金融機関や企業を装ったなりすまし）による不正送金の被害が増加しています。2023年11月末時点での被害件数は5,147件、被害額は約80.1億円に達し、いずれも過去最多と分かりました(*2)。

近年のなりすましメール被害は、取引先を装った振込先変更や、経営層になりすまして社員に送金を指示するなど、従来に比べてより手口が巧妙化し、見分けることが難しく金銭的被害に繋がりやすくなっています。

デジタルデータソリューションは、デジタル機器の解析技術を活かし、ランサムウェアやマルウェアなどのセキュリティを脅かす脅威の特定や、社内不正・情報持ち出しのように世の中の「不正」や「犯罪」の証拠を掴むことを主軸としたフォレンジックサービス「デジタルデータフォレンジック」を提供しています。

なりすましメール被害の実態を明らかにするため、デジタルデータソリューションでは、2021年度～2023年度になりすましメール被害にあった企業190社を対象に調査を実施しました。より具体的な事例を紹介することで、同様の被害が発生しないよう未然防止に役立てていただけきたいと考え、調査結果を公表いたします。

*1　IPA「情報セキュリティ10大脅威 2024」

https://www.ipa.go.jp/security/10threats/10threats2024.html

*2　警察庁「フィッシングによるものとみられるインターネットバンキングに係る 不正送金被害の急増について（注意喚起）」

https://www.npa.go.jp/bureau/cyber/pdf/20231225_press.pdf

• 調査サマリー 

1. なりすましメールの内容でもっとも多いのは「請求書、発注書、給与・賞与明細などの送付が（約87%）」である。

2. なりすましメール被害がもっとも多い業界は建設業。

3. なりすましメール被害が発覚した経緯としてもっとも多いのは、「他社員より共有を受けた（約44%）」次は「取引先・顧客より連絡を受けた（約40％）」である。

4. なりすましメール被害で漏えいした情報で多いのは、取引先・顧客の個人情報や企業のドメイン情報である。

詳しい内容はこちらより無料でダウンロードいただけます。

「なりすましメール被害にあった企業190社の実態調査​」

https://digitaldata-forensics.com/column/resources/paper04/

• 調査概要

 調査主体           ：デジタルデータソリューション株式会社

 調査対象者        ：なりすましメール被害にあった経験のある企業

 サンプルサイズ  ：190社

 調査年月           ：2021年4月～2024年3月

 調査手法           ：アンケート調査

• 調査結果

※以下は「なりすましメール被害にあった企業190社の実態調査」の内容から一部抜粋して掲載しています。

設問1：なりすましメールの内容を教えてください。

なりすましメールの内容としては、「請求書や発注書、給与・賞与明細などの送付」が約87％を占めました。これは、2021年～2022年に被害が多発したEmotetによるものです。2023年以降多かったのは、「クレジットカード情報を詐取するフィッシングメール（約5%）」と、「取引先を装った振込先変更依頼（約3%）」でした。 

設問2：業種を教えてください。

なりすましメールの被害が多い業界として、建設業とサービス業があげられます。建設会社や施工会社からの相談の9割以上は、Emotet感染によるものです。サービス業では、ホテル、飲食店、旅行会社など観光関連企業や、人材紹介会社からの被害相談が多数確認されています。

設問3：なりすましメール被害が発覚したきっかけを教えてください。

なりすましメール被害が発覚した経緯として「他社員より共有を受けた」が約44%、「取引先・顧客より連絡を受けた」が約40%を占めました。外部に漏えいしたメールアカウントやパスワード、アドレス帳の情報を攻撃者が悪用して、社内の他社員や取引先、顧客へなりすましメールを送付したことで被害が拡大していると考えられます。

設問4：どういった情報が漏えいしましたか。

• なりすましメールの被害事例

実際になりすましメールの被害を受け、弊社で調査した事例の一例です。

・A社は、取引先B社より振込先を変更したい旨のメール連絡を受け、変更後の口座に約2億円を振り込みました。​・その後、別の取引先C社からも同様に振込先変更依頼のメールが届いて、取引先C社へ電話で確認すると、C社は口座変更のメールを送っていないことが判明しました。

・​A社が受け取った振込先変更依頼は、B社・C社を装ったなりすましメールであり、取引先B社に2億円を振り込んだ口座は攻撃者が用意した偽口座であったと判明しました。

詳しい内容はこちらより無料でダウンロードいただけます。

「なりすましメール被害にあった企業190社の実態調査」

https://digitaldata-forensics.com/column/resources/paper04/

• デジタルデータフォレンジックについて

デジタルデータフォレンジックは、機器の故障や犯罪・不正アクセスなどにより消されたデータを復元し、証拠データやログの調査・解析を行って、調査結果をご報告するサービスです。

事業内容 ：デジタルデータ鑑識サービスの提供

URL　　 ：https://digitaldata-forensics.com/

• 会社概要

「世界中のデータトラブルを解決する」という理念のもと、国内100億円の市場で売上No.1の実績を持つ<データリカバリー事業>をはじめ、ホワイトハッカーによる犯罪捜査を行う<フォレンジクス事業>、官公庁・大企業レベルの通信監視で、サイバー攻撃から中小企業や個人の情報資産を守る<サイバーセキュリティ事業>の3事業を展開するデータセキュリティカンパニーです。

全国44万件以上のデータインシデントに対応しているDDSは、世界最先端の技術で、DX化が進む社会にデジタルデータの安心・安全を提供します。

 名称　　：デジタルデータソリューション株式会社（https://digitaldata-solution.co.jp/）

 所在地　：〒106-6115 東京都港区六本木6-10-1 六本木ヒルズ森タワー15階

 代表者　：代表取締役社長　熊谷 聖司

 設立　　：1999年6月

 事業内容：フォレンジクス事業、データリカバリー事業、サイバーセキュリティ事業