JALの3.8億円振り込め詐欺に見られるBEC(ビジネスメール詐欺)
KNNポール神田です。
日本航空は20日、約3億8千万円の「振り込め詐欺」の被害に遭ったと発表した。取引先になりすましたメールで航空機リース料などの支払いを要求され、応じてしまったという。
日航の説明では、取引のある金融会社の担当者を装うメールが9月25日に届き、支払口座を香港の銀行に変更したと伝えてきた。送信元のアドレスは画面表示上、担当者のものと同じだったため、日航側は信じて同月29日に約3億6千万円を送金した。翌10月、本物の金融会社から督促があり、だまされたことがわかったという。香港の銀行からはすでに金は引き出されていた。
広義の意味での『振り込め詐欺』としての金額としては世界最大級の被害に近い…。ビジネス界における『振り込め詐欺』は、2014年くらいから『BEC(ビジネスメール詐欺Business E-mail Compromise)』として警鐘が鳴らされている。米国の連邦捜査局(FBI)によれば、ビジネスメール詐欺の平均被害額は1件当たり13万ドル(約1400万円)と高額だ。それだけ犯罪者チームにとっては『BEC』は、非常に美味しいビジネスになっている。
高齢者狙いよりも効率的なBECの振り込め詐欺
高齢者を狙った日本の『振り込め詐欺』は、電話を使い、さまざまな「キャスト」が登場し、最終的には金銭を受け取る「受け子」や引き出す「出し子」までがアウトソーシングされ手口が非常に巧妙に入り込んでいる。
一方、『BEC』の場合は、関係者はステークホルダーになりすまし、メール1本で巨額の振込が達成される。手口としては、「情報」さえ掴んでいれば、一番簡単でリスクのない高額な『振り込め詐欺』が実現する。
今回のJALの場合は、「取引き担当者のアドレス」「」「支払い口座の変更」「偽の請求書」などと、内部情報に詳しくないと成立しない事件だ。しかし、それらは担当者のアドレスを何らかの方法でハッキングし、事前に潜伏し「情報」を収集していれば十分可能な手口だといえる。
対策手段は「メール以外の確認」という原始的な確認方法
■対策
電子メール以外の手段での確認
海外のお取引先から、送金先口座を変更する旨の電子メールを受信した場合や、通常と異なるメールアドレスから送金依頼を受信した場合は、念のため電子メール以外の手段(電話やFAX等)で事実確認を行う。
海外のお取引先等と送金依頼の電子メールを送受信する際は、暗号化した添付ファイルを用いたり、電子署名を付す等、より安全性の高い方法で行う。
三菱東京UFJ銀行
外国法人から受信した電子メールに対して電子メールで返答する場合、「返信」ではなく「転送」機能を用いて名刺等の正式な書式に記載されている正しい電子メールアドレスを再入力することで、送信先の正当性の確認を行う。
送金取引やその連絡に利用しているパソコンのセキュリティ対策(ウイルス駆除等)を行う。また、外国法人と送金依頼の電子メールを送受信する際には、平文(暗号化されていないデータ)ではなく暗号化した添付ファイルを用いる、電子署名を付すなど※、より安全性の高い方法で行う。
社内の送金事務(経理)担当者だけでなく、電子メールの送受信の当事者である営業・購買・国際部署に「詐欺メールの手口」に十分注意するよう呼びかける。
一般社団法人 全国銀行協会
このように、最大の防衛策は、「メール以外の確認方法(電話やFAX)」という非常に原始的なやり方である。それ以前に、取引先の支払い情報が変更された場合は、必ず「社内の承認プロセスを経過する」という一文を徹底すべきだろう。ある意味、「BEC」はシンプルにヒューマンエラーを狙っているからだ。
21世紀のIT時代となり、ブロックチェーンなどのFintechが駆使される時代にも、ビジネスの大半が『eメール』という過去の遺物のようなコミュニケーション手法でやりとりされている。メールによって人が判断する部分にはヒューマンエラーが起きやすい。
セキュリティ会社のトレンドマイクロによれば、BECの被害のパターンを5つに分類している。
タイプ1:偽の請求書になりすます
タイプ2:CEOになりすます
タイプ3:アカウントの侵害
タイプ4:弁護士になりすます
タイプ5:情報窃取
今回のJALの詐欺は、タイプ1だが、他にもCEOや財務責任者からの指示などもBECとして常套化している。まずは、原始的だが、金銭の絡む指示は、メール以外の確認が必要としなければならなくなっている。テクノロジーで解決するサービスの誕生が早急に望まれる。
