セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

メール一通で大金を狙う

一通のメールが生んだ3億円を超える被害

12月20日、日本航空が詐欺被害に遭ったという発表を行いました。
被害額は総額約3.8億円。更に12月21日、スカイマークも似たような攻撃を受けていたことが明らかになりました。こちらは金銭的被害は出ていませんが、どちらの手口も本来の取引先の名を騙り「振込先を変えた」と伝えるというものでした。
こうした、業務メールのやり取りを利用した脅威を「BEC(Business E-mail Compromise)詐欺」と呼びます。
ニュースによっては「JALが振り込め詐欺に」といった見出しも見られますが、BEC詐欺はまさに「企業版振り込め詐欺」と言えるでしょう。

手口を比較

現在日本航空とスカイマークが発表している詐欺メールは、合計四回にのぼります。
これらの手口を時系列で見比べてみましょう。

その1 スカイマークに届いた一度目のメール
時期 2016年6月
内容 実在する取引先の担当者名で「振込先を変更した」と送られてきた。
対応 担当者が40万円を振り込むも、口座が凍結しており振り込めず。取引先に確認したところ詐欺だったことが発覚。
被害額 0円
   
その2 日本航空のアメリカの貨物事務所に届いたメール
時期 2017年8月
内容 実在する取引先から、普段の取引先とは別のメールアドレスで「振込先を変更した」と送られてきた。
対応 メールアドレスが異なることを不審に思い、担当者が普段のメールアドレスを付け加えて問い合わせメールを送信。それに対し、普段のメールアドレスから「本当だ」と返信があった為、実際に振り込む。
被害額 約2400万円
   
その3 日本航空に届いたメール
時期 2017年9月25日
内容 実在する取引先の担当者名とメールアドレスで「振込先を変更した」と送られてきた。実物に酷似させた請求書のPDFファイルも添付されていた。
対応 指定された銀行口座に振り込む。
被害額 約3億6000万円
   
その4 スカイマークに届いた二度目のメール
時期 2017年10月
内容 実在する取引先の担当者名で「振込先を変更した」と送られてきた。
対応 担当者が不審に思って取引先に確認し、詐欺であることが発覚。
被害額 0円

まず目を引くのは、やはり2017年9月の日本航空に対する被害額でしょう。これは航空機のリース料という多額の決済を狙った詐欺で、それだけに攻撃側も入念に準備したことが窺えます。メールアドレスのなりすましや、本物の書類に酷似させたPDFを添付するなど、本物であることを信じ込ませるための様々な工夫を凝らしています。

BEC詐欺の特徴の一つは、こうした「不自然に思われないための工夫」にあります。狙った企業、更には狙った担当者に対して、「騙し方のカスタマイズ」を行うのです。
その意味で目を引くのは、その2とその4の事例です。どちらも担当者が不審に思ったところまでは同じですが、日本航空の貨物事務所は最終的に騙され、スカイマークは詐欺に気づいています。
スカイマークの行った確認方法(返信ではない別メールで確認したのか、電話で確認したのか、等)の情報は出ていませんが、ここに明暗の分かれ目があったのでしょう。

遂に日本でも

BEC詐欺は英語圏では既に深刻な脅威となっています。IPAからも注意喚起が出されていましたが、遂に日本の、それも誰もが知るような企業がその被害に遭いました。
そして、今回発表された被害の中で最初のメールが届いたのは2016年6月でした。つまり「1年以上前から既に日本国内も狙われていた」と考えても、決して大袈裟ではない状況なのです。

標的型メールを訓練する

防災訓練は地震や火事への有効な備えの一つですが、実はBEC詐欺の備えとなる訓練もあります。
「自分を狙い撃ちで騙そうとするメール」を実際に体験できるサービスです。

標的型メール訓練サービス


訓練を通じ、社員一人ひとりに騙されない目と意識を養うことができます。
是非お問い合わせください。

参考URL

JAL、詐欺被害3臆8000万円 777リース料や貨物委託料送金 – Aviation Wire
JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害 – ITpro
スカイマークにも振り込め詐欺、1度信じたが金銭被害は免れる、ANAは「メールは確認されていない」 – ITpro

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る