詐欺のパターン

IPA（情報処理推進機構）によると、ビジネスメール詐欺は以下の2つのパターンが多く確認されているようです。 前者は、攻撃者が取引先になりすまし、偽の請求書（振込先を攻撃者の用意した口座に差し替えたもの等）を送り付けるというものです。
この場合、攻撃者は取引に用いているメールの内容を、何らかの方法で盗み見る等を行っていることがあります。

後者は、企業の経営者や経営幹部などになりすまし、従業員に攻撃者の用意した口座に振り込みをさせるというものです。
企業内の財務・経理担当者が狙われる傾向があり、「秘密の案件で相談がある」といった要件でメールが届くという手口も確認されています。

ビジネスメール詐欺対策

ビジネスメール詐欺に限ったことではありませんが、ITにおける防御は一つ対策を行って終わりではなく、幾重にも対策を行って安全性を高めることが重要です。
特にビジネスメール詐欺は「人を騙す」という切り口での攻撃であり、システムやセキュリティソフトでの機械的な防御だけでは、対策が難しいとされています。
IPAでは、次のような対策を組み合わせて実施するように勧めています。

被害にあった場合の対処

セキュリティにおいて忘れられがちなのが、被害にあった際の対処フローです。IPAでは被害にあってしまった際の対処として、以下を提案しています。 ビジネスメール詐欺に限らず、攻撃手法は日々進化しています。大切な情報資産を守るためにも、常に最新の情報を追うことが重要です。
IPAでは、セキュリティに関する情報を頻繁に発信しています。対策がわからないという場合は、IPA の公式ページ※を確認するとよいかもしれません。

※ IPA　独立行政法人情報処理推進機構

IPA 独立行政法人 情報処理推進機構：情報セキュリティ