デジタルデータソリューション株式会社（以下：デジタルデータソリューション）はなりすましメール被害の実態を明らかにするべく、2021年から2023年度に被害にあった企業190社を対象に調査を実施、結果を公表した。本記事では一部内容を抜粋して紹介する。

調査概要

◆調査主体：デジタルデータソリューション株式会社
◆調査対象者：なりすましメール被害にあった経験のある企業
◆サンプルサイズ：190社
◆調査年月：2021年4月～2024年3月
◆調査手法：アンケート調査
◆出典元：なりすましメール被害に関する実態調査​（デジタルデータソリューション株式会社）

Emotet感染による被害が上位を占める

なりすましメールの内容としては「請求書や発注書、給与・賞与明細などの送付」が約87％を占める結果に。これは、2021年～2022年に被害が多発したEmotet（※1）によるものである。

また、2023年以降は「クレジットカード情報を詐取するフィッシングメール（約5%）」と、「取引先を装った振込先変更依頼（約3%）」が多くなる傾向となった。

また、なりすましメールの被害が多い業界として、建設業とサービス業が上位にあがった。建設会社や施工会社からの相談の9割以上は、Emotet感染によるもの。サービス業では、ホテル、飲食店、旅行会社など観光関連企業や、人材紹介会社からの被害相談が多数確認されているという。

※1：メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルス。

様々なデータがなりすましメールを通じて漏えい

なりすましメール被害が発覚した経緯として「他社員より共有を受けた」が約44%、「取引先・顧客より連絡を受けた」が約40%を占めた。

外部に漏えいしたメールアカウントやパスワード、アドレス帳の情報を攻撃者が悪用して、社内の他社員や取引先、顧客へなりすましメールを送付したことで被害が拡大していると考えられる。

また、なりすましメール被害で漏えいした情報については、以下のような回答が並ぶ結果となった。

◆企業のドメイン情報
◆メールアドレス、パスワード
◆企業の口座情報
◆取引先、顧客とのやり取り履歴
◆ECサイトや決済システムのアカウント情報

従来に比べてより手口が巧妙化

以下は、実際になりすましメールの被害を受け、デジタルデータソリューションが調査した事例となる。

「A社は、取引先B社より振込先を変更したい旨のメール連絡を受け、変更後の口座に約2億円を振り込み。​その後、別の取引先C社からも同様に振込先変更依頼のメールが届き、取引先C社へ電話で確認すると、C社は口座変更のメールを送っていないことが判明。​A社が受け取った振込先変更依頼は、B社・C社を装ったなりすましメールであり、取引先B社に2億円を振り込んだ口座は攻撃者が用意した偽口座であったと明らかとなった」

近年のなりすましメール被害は、取引先を装った振込先変更や、経営層になりすまして社員に送金を指示するなど、従来に比べてより手口が巧妙化し、見分けることが難しく金銭的被害に繋がりやすくなっている。本調査内容を参考に、セキュリティの強化など自社の対策を進め、今後の被害を未然に防いで欲しい。