中小企業向けITコンサルティング専門会社、日本クラウドコンピューティング株式会社代表取締役社長、中小企業経営イノベーション協議会会長を務める清水圭一のブログです。中小企業経営者向けに講演、コンサルティング、ITシステム開発を行っております。現在、『月刊総務』にてICTコラムを連載中。
<< ここまで来た!相手の昇進や異動がわかる名刺アプリの進化 | main | 突然、襲いかかる保守サポート費用の値上げに対抗するには? >>
多額の損害をもたらすビジネスメール詐欺に注意!
0

    「多額の損害をもたらすビジネスメール詐欺に注意!」

     

    日本クラウドコンピューティング株式会社

    代表取締役社長 清水圭一

     

     

    ビジネスメール詐欺とは?

     

     メールで請求書や支払い関係のやり取りや手続きをしている会社がほとんであるかと思います。

     

    しかし、相手の顔が見えないメールを悪用して、多額の損害をもたらすビジネスメール詐欺が急増しています。

     

     

     ビジネスメール詐欺とは、この請求元の担当者や役員、責任者になりすまし、メールで、いつもとは違う銀行口座を請求先に通知して、その金額を騙し取るサイバー攻撃の一種です。

     

    オレオレ詐欺の企業版のようなものですが、その被害は、拡大しています。

     

     

     米国連邦捜査局によると、2013年10月から2016年5月までに、米国インターネット 犯罪苦情センターに報告されたビジネスメール詐欺の被害件数は15,668件、被害総額は約11億(1,053,849,635)米ドルにのぼっています。

     

    1件あたりの平均被害額は約14万米ドル(日本円では約1,600万円程度)にもなり、非常に大きな被害をもたらす脅威となっています。 

     

     

     また、日本でも被害に合う企業が増えてきており、国内でも逮捕者が出ており、実際に被害までは及ばなかったものの、ビジネス詐欺と思われる攻撃の経験がある企業も増えております。

     

    今回は大きな脅威となりつつビジネスメール詐欺の手口と対策を解説したいと思います。

     

     

    ビジネス詐欺の手口

     

    ビジネス詐欺は大きく分けて、次の5つのタイプがあります。

     

     

    タイプ1:請求書の偽装 

     

     請求書を偽装して、取引先にメールで送付します。

     

    その際に、「以前、送付した請求書には間違いがあったので、こちらの請求書に記載してある銀行口座に送金して欲しい」とのコメントがメールで書かれているのです。

     

     

     売掛債権ファクタリングを第三者に行っているケースや、また、屋号と法人名が異なる場合など、支払先と銀行口座名義が違うケースなどは多くあります。

     

    特に海外企業と取引している会社などは、請求書の記載内容の細かい違いに気付かない場合が多くあり、実際、海外との取引が多い企業がターゲットにされやすい傾向があります。

     

     

     

    タイプ2:経営者等へのなりすまし 

     

     企業の経営者になりすまし、メールで経理担当者に「今後、取引先のA社の支払銀行口座が変わったので、こちらに振り込むように」と、虚偽のメールを送付します。

     

    いつもと違うメールアドレスであっても、経営者の名前が含まれたフリーメールだったりすると、個人のメールアドレスから送ってきたと思い込んで、何の疑いもなく、その指示通りにしてしまう心理を狙っています。

     

     

     

    タイプ3:窃取メールアカウントの悪用 

     

     メールアカウント、パスワードを他のサイトで不正に入手し、完全のメールアカウント自体を窃取します。

     

    そこから取引先や自社の経理担当者に偽の請求書や、振込銀行口座変更の指示を出すというものです。

     

     

     

    タイプ4:社外の権威ある第三者へのなりすまし 

     

     弁護士などのなりすまし、「A社は経営破綻により、売掛債権については管財人である当方が管理します。ついては、今後の支払いについては、こちらの銀行口座にお振込ください」といった具合に、権威ある第三者になりすまして、詐欺を実行します。

     

     

     

    タイプ5:詐欺の準備行為と思われる情報の詐取 

     

     事前に取引先を装い「貴社請求書番号、支払い期日の一覧をまとめたものをお送りください」などといったメールを送り、偽装請求書の事前情報を入手したり、あるいは、経理部門に取引先を装って、支払担当者名を確認するような連絡を行い、詐欺の準備行為を行います。

     

     

     これらのタイプは、それぞれ毎に実行される場合もありますし、タイプを複合させて実行される場合もあります。

     

     

    ビジネスメール詐欺に合わないための5つの対策

     

     ビジネスメール対策に合わないために、5つの対策が挙げられます。

     

    1.振込銀行口座の変更には安易に応じない

     

     取引先の振込銀行口座の変更は、安易に行わないこと。

     

    特に取引先法人名と銀行口座名義が違う場合は、その理由と証拠となる書類の提出を行います。

     

    最近では、証拠の書類まで偽造して送付するケースもありますので、例えば、取引先が倒産という管財人からの連絡は、官報を確認したり、実際に電話してみるなど、二重三重の確認を行います。

     

     

    2.有名企業のドメインでも詳細を確認する

     

     メールアドレスのドメインが有名企業だったりすると、ついつい信用してしまいますが、例えば、ドメインのスペルが「m」の部分が「rri」になっていたり、社名を表す部分の最後に「s」が付いていたりと違いがあったり、ドメインの最後の部分が、見慣れない「.pw」や「.xyz」など、ちょっとでも不審なところがあれば、本当にその企業の担当者であるか、電話などで確認をします。

     

     

    3.ビジネスメール詐欺対策のセキュリティソフトウェアを導入します

     

     ビジネスメール詐欺で使われているドメイン名やメール送信元の偽装などを自動判別して、「このメールは詐欺の可能性があります」と通知するセキュリティソフトウェアなどがあります。

     

    こういった製品やサービスを使って、怪しいメールに関しては警告を表示したり、そもそも詐欺メールを受信しないで、メールサーバー側でシャットアウトする機能がある製品やサービスもあります。

     

     

     ビジネスメール詐欺は、一件あたりの金額も大きく、売掛金の入金を毎月チェックしていない企業などは、気付くまでに時間が掛かり、継続的に騙し取られ続けていたなんていうことも起こりうります。

     

    これらのことは、支払請求業務の変更手順の統制をしっかり行うことで、回避できる部分も多くあります。

     

    これを機会に、支払、請求業務の見直しをしてみてはいかがでしょうか?

    JUGEMテーマ:ビジネス

    Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | セキュリティ・情報漏洩対策 | 07:00 | - | - | - | - |
    TOP