あの大企業が3億円以上もの詐欺被害に遭った、というニュースに震撼した人は多いでしょう。それも、その手法は、ビジネスメール詐欺。
でも、いつだって起こりえるのです。
あなたは自分を守れる自信はありますか?

 * * * * *

(写真:iStock.com/joel-t)

これが世界レベルの「ビジネスメール詐欺」。
メールはハッキングされ、行動は筒抜けだった!?

 年の瀬も迫る2017年12月、衝撃的なニュースが日本中を騒然とさせた。

「航空会社が合計3億円以上のメール詐欺被害」

 日本を代表する大手航空会社が、「ビジネスメール詐欺」の被害に遭っていたことが報じられたのだ。

 ビジネスメール詐欺(Business E-mail Compromise、通称「BEC」)は、近年の日本でも徐々に増え始めており、情報処理推進機構(IPA)からも注意喚起がなされている。

 その代表的な手口などについては、企業をターゲットとした「オレオレ詐欺」のようなものとして、拙著(『サイバー犯罪入門』)でも紹介してきたとおりだ。

 実際、迷惑メールフォルダには毎日のように“架空請求メール”といった類の迷惑メールが届き、私たちだって日々騙されないようにと慎重になっているはずだ。

 しかし、今回被害に遭っているのは、日本を代表する大企業の財務担当部署であり、おそらくは家庭においても「オレオレ詐欺には気を付けて」と言う側の立場の人たちであろう。

 そんな人たちが、3億円以上もの巨額をいとも簡単に騙し取られてしまうものなのだろうか!?

 本コラム執筆時点では続報も報じられているため、今後また異なる展開となることも考えられるが、執筆時点で報道されている情報を元に、考察してみる。

 1)日本の航空会社に、米国金融会社から航空機リース料(3ヶ月分相当)の請求書がメールで届く。

 2)直後に、米国金融会社から振込先を変更した「訂正版」がメールで届く。

 3)日本の航空会社の担当者は、訂正版の記載内容に従って振込を実行。

 4)翌月、米国金融会社から入金確認ができていないと指摘されたことで事件が発覚。

 まずは、米国金融会社から届いた請求書。

 これは本物。

 そして、直後に同じ担当者から届いた請求書の訂正版。

 こちらが偽物だったとされている。

 つまり、米国金融会社は、はなから振込先の変更依頼など送付していなかった。

 そう、“悪意を持った何者か”によって周到に用意された「偽」請求書が、適切なタイミングで、適切な担当者に送りつけられたというわけだ。

 そして日本の航空会社の担当者は、あらかじめ用意されていた「偽」銀行口座に、振込を実行してしまったのだ。

 通常、私たちは、自分の乗る航空機を航空会社がどのように調達しているのか知らない。ましてや、その支払いの請求書がメールの添付ファイルでやり取りされているということなんて、今回の報道で初めて知った人が大半だろう。

 しかし、悪意を持った何者かは違った。

「誰が」「いつ」「どのようにして」
=「誰から誰に」「どのタイミングで」「どのような方法で」請求を行っているのか、

 その時にやり取りされている請求書の書式から文面までの全てを把握することができていた。

 しかも、金融会社の担当者のサインまで模倣して「偽」の訂正版には署名されている。

 そして、「偽」の訂正版を「適切なタイミング」で送ることができていた点も重要なポイントである。

 金融会社が「正規」の請求書を出す前に、「偽」の訂正版が届いてしまっては、疑う余地はない。

 つまり今回の事件は用意周到に準備されたものであり、3ヶ月分の請求書ということは、年4回しか訪れないそのチャンスを、悪意を持った何者かが虎視眈々と狙っていたはずだ、ということである。

 では、何故そのようなことが可能だったのか?

 双方もしくはいずれかのメールがハッキングされ、行動が監視されていたことは想像に難くない。

 当然、金融会社と航空会社のやり取りだけに特化して監視しているわけではないので、おそらく、“それ以外の取引関係”についても監視されていたはずだ。

 そして、そこで得た情報をもとにターゲットを選定し、

 ・その担当者が誰なのか?

 ・どのような方法で請求を行なっているのか?

 ・書式や文面はどのようになっているのか?

 といったことを調べ上げる。

 そこから周到に準備が行われ、あとは適切なタイミングを見極めて行動に移すだけだ。

 そのため、このような事件の場合、いずれか片方の企業が極めて堅牢なセキュリティ対策を施していたとしても、取引の相手方が隙だらけでは、今回のような事件を防ぐことはできない。

 双方が”隙だらけ”なら尚更だ。

 それでは、ハッキング被害にさえ遭わなければ、このような事件を防ぐことはできるのだろうか?

 残念ながら、このような事件は、現代社会特有の目新しいものというわけではない。

 従来から、郵便物を途中で開封して書類を差し替え、金銭を詐取するような手口は存在してきた。

 そのため、このような事件の比較的多い欧州では「犯罪保険」というものも存在し、このような詐欺事件での被害を補償する仕組みも存在する。

 今回の報道で初めて、「ビジネスメール詐欺」という言葉を聞いたという人も多いことだろう。

 しかし、冒頭でも述べたとおり、日本でも近年徐々に増加しており、すでに欧米では多くの被害が発生している。

 そこで、ロンドンの老舗保険ブローカーである「ウイリス タワーズ ワトソン」に、今回の日本での事件を踏まえた上で、ビジネスメール詐欺の実状について尋ねてみた。

 ちなみに同社は、タイタニック号の保険を引き受けたことでも有名な世界的な保険ブローカーであり、これまでにも詐欺被害に遭った企業への対応を多く行なっているだろうと考えたからだ。

「欧州では詐欺被害が増えており、犯罪保険の引受が徐々に厳しくなっています」

 今回応対してくれたセバスチャン氏は、開口一番このように述べた。

 金額の大小はともかくとして、事故(支払)が多くなり、犯罪保険の詐欺に対するカバーの引受が厳しくなってきているそうだ。

 また、引受けられる場合でも、“詐欺による事故”であった場合には、他の犯罪に比べて支払限度額が制限される事が通常化してきているそうである。

 また、被害に遭った事例の詳細について尋ねると、近年では手口も巧妙化しているらしい。

 口座変更の旨を電話で伝えたり、FAXやメールを別に送付するなど、2重3重に仕掛けてくるケースも出ているという。

 以前、ミラノにいる経営者の知人から「ずる賢い」は褒め言葉だと教えてもらったことがあるが、そのイタリアでは既に、“メール送信と合わせて原本の送付をする”という取り決めをしている企業も増えているという。

 メールを送った後で何故か電話を掛けていた20年前に逆戻りしたような気もするが……。

 これまでは、“明らかに不自然な日本語”を用いた詐欺メールなど、一目で怪しい雰囲気を放っていたが、もはや一見しただけでは真偽のほどが見分けのつかないものにまで、レベルを上げてきている。

 私たちが絶対に狙われない理由など、もはや考えられない。

 グローバルでサプライチェーンが構築されていることも多い、現代のビジネス環境。

 取引先どうしのいずれか、もしくはその双方がリスクを内包してしまうということは、サプライチェーンで繋がる取引先全体をそのリスクに多かれ少なかれ晒すこととなる。

 バカな味方は敵より怖い。

この記事をシェア
この連載のすべての記事を見る

★がついた記事は無料会員限定

足立照嘉『サイバー犯罪入門 国もマネーも乗っ取られる衝撃の真実』
→試し読み・電子書籍はこちら
→書籍の購入はこちら(Amazon)

大規模サイバー攻撃により、チェルノブイリ原発一時停止。
原発、病院、銀行、交通機関ーー日本も狙われている! 

世界中の貧困層や若者を中心に、ハッカーは「ノーリスク・ハイリターン」の夢の職業だ。同時に、サイバー犯罪による"収益"を資金源とする犯罪組織やテロリストは、優秀なハッカーを常に求めている。両者が出会い、組織化され、犯罪の手口は年々巧みに。「気付かないうちに預金額が減っている」といった事件も今や珍しくないし、数十億円を一気に集めることも容易い。一方で、日本人は隙だらけ。このままでは生活を守れない! 日々ハッカーと戦うサイバーセキュリティ専門家が、ハッカーの視点や心理、使っているテクニックを、ギリギリまで明かす。