JALも騙された、企業版「振り込め詐欺」の防ぎ方

　2017年12月20日、日本航空（JAL）は企業を狙った振り込め詐欺により約3億6,000万円の被害に遭ったことを発表しました。

　このように、企業から金銭を騙し取る振り込め詐欺は「BEC詐欺（Business Email Compromise）」と呼ばれます。既に2015年にはFBIが注意喚起を行っていましたが、JALが巨額の被害を受けたことで、日本でも注目されるようになりました。

　BEC詐欺は、どのような手口で行われるのか。そして、BEC詐欺に引っかからないためには、どのように対策するのが良いのでしょうか。

JALはどうやって騙されたのか

　冒頭で触れたとおり、BEC詐欺は、2015年にFBIが「急増している」と、『米国インターネット犯罪苦情センター（Internet Crime Complaint Center）』で警告しています。同サイトでは、BEC詐欺の被害が79カ国で報告され、送金先の大半が中国や香港にあるアジアの銀行であると伝えています。

　BEC詐欺は「Email」と名付けられているとおり、基本的にはメールを使って企業に仕掛けられます。「メールなんかで簡単に騙されるものか」と思う人もいるかもしれませんが、受信者が信じてしまうような巧妙な手口が用いられています。

　JALの発表によると、被害は2件のビジネスメールにより引き起こされました。いずれのメールも、日常的に連絡を取り合っている実在の取引先を装ったメールであり、送信者の担当者名とメールアドレスが実際に取引している担当者名のものになっていました。

　うち1件は、相手が指定してきた銀行口座が、香港に開設された偽の銀行口座でしたが、既に送付されていた正規の請求書の訂正版PDFという形で知らされたため、JALの担当者は信じてしまったのです。

対策の第一歩は、BEC詐欺の「タイプ」を知ること

　JALが被害を受けたBEC詐欺は前述のような手口でしたが、BEC詐欺にはいくつかのタイプがあります。セキュリティ会社のトレンドマイクロが『多額の損失をもたらすビジネスメール詐欺「BEC」』で紹介している5つのタイプを要約すると以下のとおりです。

●タイプ1：偽の請求書になりすます
　「Bogus Invoice Scheme（偽の請求書詐欺）」や「Supplier Swindle（サプライヤー詐欺）」、あるいは「Invoice Modification Scheme（請求書偽造の手口）」などと呼ばれるタイプです。担当者に偽の送金先を伝えて請求する手法です。

●タイプ2：CEOになりすます
　「CEO Fraud（CEO詐欺）」や「Business Executive Scam（企業幹部詐欺）」、「Masquerading（なりすまし詐欺）」、あるいは「Financial Industry Wire Fraud（金融業界送金詐欺）」などと呼ばれるタイプです。企業の幹部になりすましたアカウントで、担当者に資金の緊急送金を指示して、偽口座に送金させます。

●タイプ3：アカウントの侵害
　従業員のメールアカウントを乗っ取り、そのアカウントがコンタクトしたことのある取引先に請求書を送付、偽の銀行口座に送金するように指示を出す手口です。

●タイプ4：弁護士になりすます
　弁護士もしくは弁護士事務所の代表になりすまして、終業間際や精神的余裕のない従業員を狙って、緊急かつ機密案件の送金を要請するタイプです。

●タイプ5：情報窃取
　企業内の人事担当者などになりすまして、幹部や従業員の個人情報を窃取し、詐欺に利用します。

　今回のJALに仕掛けられたBEC詐欺は、上記のタイプ1とタイプ3の複合型と考えられます。

BEC詐欺を防ぐためにとるべき対策とは

　こうしたBEC詐欺に引っかからないために、警視庁、全国銀行協会、情報処理推進機構などが、BEC詐欺に引っかからないための防衛策を公開しています。その対策を簡単にまとめると、以下のようになります。

・送金処理に関する承認と処理のプロセスを明文化する。
・一定金額以上の送金には、多階層の承認を必要とする稟議制度を設ける。
・社内のシステムに登録された送金処理しかできない仕組みにする。
・送金を依頼するメールが届いたら、送信メールアドレスを確認する（正しいアドレスとわずかに異なっている場合がある）

　こうしたBEC詐欺の注意点は、送金事務に関わる担当者だけが注意するものではありません。なぜなら、BEC詐欺はどのような経路で誰をターゲットにするか分からないためです。時として、同じ社内の人物になりすますこともあり得ます。

　BEC詐欺の被害に遭わないためには、その手口や対策に関する最新の情報を企業全体で共有しておくことが求められます。