警視庁の発表によると、2023年のインターネットバンキングでの不正送金による被害総額は87億3130万円と過去最悪になりました。この中には、企業の被害もあるということをご存じですか?
ビジネス活動で注意すべきサイバー脅威のうち、ウイルス感染に比べると件数が少なく注目される機会が少ないものの、ダメージが甚大なのが、不正送金・ビジネスメール詐欺(BEC)です。IPAによる「情報セキュリティ10大脅威 2024」では8位に取り上げられているビジネスメール詐欺は、人間の心理のつきを突いて、時には何億円といった資金を盗み、しばしば巨額の企業資金を一瞬で失ってしまう被害を引き起こしています。
本記事では、日本企業の近年の被害事例をまとめました。
「株式会社スリー・ディー・マトリックス」は東証グロースに上場している医療製品メーカーです。原料代金の支払い 約86万ドルについて、取引先を騙った支払先の変更依頼メールがあり、これに応じて虚偽の銀行口座に代金を支払いました。その後、別の取引の一部 約50万ドルについても偽のメールの指示に応じて虚偽の銀行口座へ支払いました。2件あわせての被害額は約136万ドル(約2億円)です。
▼経営者間の信頼関係から口座変更に応じる ~ 医療製品開発企業で送金詐欺
https://scan.netsecurity.ne.jp/article/2024/02/02/50548.html
▼送金詐欺による資金流出被害のお知らせ
https://pdf.irpocket.com/C7777/ZoWa/awjA/EOHM.pdf
NHK傘下の「株式会社NHKプロモーション」が、企画した自主イベント事業の取引先を騙った偽の請求書の口座に送金し、現金をだまし取られました。同社はビジネスメール詐欺の被害にあったとみて警察に相談・送金先の金融基幹に被害申告をしました。
▼送金詐欺被害が疑われる事案の発生について
https://www.nhk.or.jp/keiei-iinkai/giji/shiryou/1430_kaicho01.pdf
▼NHKプロモーション 送金詐欺被害が疑われる事案発生
https://www.daily.co.jp/gossip/2023/08/21/0016724586.shtml
「株式会社東芝」のアメリカの子会社が2022年7月に経営幹部を装った人物から指示を受け、約5億円を送金。その後指示が虚偽であると判明し、被害を届け出ました。
▼東芝、詐欺にあう 5億円“経営幹部”指示で送金
https://news.ntv.co.jp/category/economy/40f4090884c445a18a7f988a996302bd
▼当社米国子会社における資金流出に関する対応の進捗等について
https://www.global.toshiba/jp/news/corporate/2022/11/news-20221111-02.html
日本航空株式会社(JAL)は2017年に2件のビジネスメール詐欺の被害を受けました。どちらも何者かが実在の取引先を騙り、詐欺メールを送信し、信じた担当者が普段と違う銀行口座に送金をしてしまいました。
1件目は貨物事業所の地上業務委託料。支払いを行う際に、偽の銀行口座を指定する詐欺メールに騙された担当者が2か月分の支払い約2400万円を送金し被害を受けました。
2件目は旅客機のリース料の請求。支払先の担当者になりすました何者かが偽の請求書をJALに送付、担当者が偽の銀行口座に送金し、旅客機 3か月分のリース料約3.7億円の被害を受けました。
▼JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害
https://xtech.nikkei.com/it/atcl/column/14/346926/122001256/
▼日本航空が被害を受けたビジネスメール詐欺をまとめてみた
https://piyolog.hatenadiary.jp/entry/20171220/1513795615
近年のビジネスメール詐欺の被害事例をご紹介しましたが、上場企業の経理担当者が巨額の資金を虚偽の口座に振り込んでしまうとはにわかには信じがたいのではないでしょうか。
騙される背景には、非常に巧妙な手口があります。JALの事例では、正規の取引先から請求書PDFが届いた直後に、偽の取引先から「訂正版」として偽の請求書が送付されました。正規の請求書と偽の訂正版はそっくりで担当者名も同じでした。
偽の訂正版の送信元アドレスは本来の取引先に似た違うアドレスだったため、担当者は問い合わせの返信を出しました。すると、正しいメールアドレスから口座変更が本物であるとメールが届きました。
つまり、ビジネスメール詐欺に騙される背景には、前段階にウイルス感染やパスワード漏えいによって、メールのやり取りを盗み見たりアカウントを操作される状況があることが分かります。
▼JAL 3.8億円詐欺被害 ビジネスメールに割り込み偽請求【サイバー護身術】https://www.yomiuri.co.jp/fukayomi/20180109-OYT8T50178/
IPAではビジネスメール詐欺への対策として以下を推奨しています。
・不審なメールは社内で相談・連絡し、情報共有する
・電信送金に関する社内規程の整備(チェック体制の整備)
・急な振込先や決済手段の変更等が発生した場合、取引先へメール以外の方法で確認する
・セキュリティソフトを導入し、最新の状態にする
・メールアカウントに推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しをしない
・メールシステムでの多要素認証、アクセス制限の導入を検討する
▼ビジネスメール詐欺の対策について知る
https://www.ipa.go.jp/security/bec/bec_measures.html
ビジネスメール詐欺を防ぐためには、経理面の社内規定の整備と、ウイルス・不正アクセス対策の両方が重要です。
ビジネスメール詐欺の実際の事例と対策方法の概要をお伝えしました。
サイバーソリューションズ株式会社では、アンチウイルス・フィッシング対策・なりすまし対策などオールインワンでメールセキュリティを強化できるサービスを提供しています。興味のある方はチェックしてみてください!
▼月100円~のメールセキュリティ「MAILGATES Σ」
https://www.cybersolutions.co.jp/product/mailgates-sigma/
▼Microsoft 365/Google Workspace向け「Cloud Mail SECURITYSUITE」
https://cmss.cybersolutions.co.jp/
ビジネスメール詐欺対策やメールセキュリティについて、よりくわしく知りたい企業の方はこちらからお気軽にご相談ください。
●お問い合わせフォーム:https://www.cybersolutions.co.jp/inquiry/
●Web会議予約:https://m.cybersolutions.co.jp/meeting
サイバーソリューションズは、これからも日本の企業の安全で安心なビジネス活動を支援する情報をお伝えしていきます。