ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

JALがサイバー犯罪トレンドの一つであるビジネスメール詐欺に遭った件

2018.01.04

日本航空が昨年巨額のビジネスメール詐欺でうっかり架空の請求先に入金してしまうというトラブルがありましたが、メール詐欺のトレンドが盛んであるだけでなく正規のメールアドレスになりすます件も増えています。

昨年末、日本航空(JAL)が大型ビジネスメール詐欺案件の被害に遭っていたことが報じられました。すでに多くの報道メディアでこの話題は取り上げられているのでご存じの方は少なくないでしょう。

日本航空 偽メールにだまされ3億8000万円余被害(NHKニュース 17/12/20)

日本航空は、何者かが取引先を装って送りつけてきた航空機のリース代などを請求する電子メールを信じ込んで、3億8000万円余りを指定された海外の銀行口座に送金してだまし取られたと公表しました。
(中略)
日本航空は、本物の取引先から振り込みがないと指摘されるまで、だまされたことに気付かなかったということで、警察に被害を届け出ましたが、このうち、リース料の3億6000万円はすでに全額が引き出され、回収できなくなっているということです。NHKニュース
被害額の大きさやすぐには事件が発覚しなかった点などからも巧妙なやり口だったことは想像できます。しかし、こうしたビジネスメール詐欺が横行しつつあることについては昨年の4月に情報処理推進機構(IPA)などが注意喚起を行っていたことを考えると、残念ながら企業側にもちょっとした油断があったということにるのかもしれません。

【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(情報処理推進機構 17/4/3)

“ビジネスメール詐欺”は金銭被害が多額になる傾向があり、日本国内にも広く潜行している可能性が懸念されます。また、手口の悪質さ・巧妙さは、諜報活動等を目的とする“標的型サイバー攻撃”とも通じるところがあり、被害を防止するためには、特に企業の経理部門等が、このような手口の存在を知ることが重要です。情報処理推進機構
今回のJALの事件でも、実際には取引先になりすましたメールのアドレスが本物とは微妙に異なっていたということが報道されており、この時点でその差異に気付いていればもしかしたら欺されることは回避できた可能性もありますが、別件の詐欺事件ではメールアドレスまで正規のものを使っていたという例があるようですから、なんともむつかしい話ではあります。

アドレス1字違い見逃す日航3.8億円メール詐欺被害(日本経済新聞 17/12/22)

17年10月にはスカイマークも取引先から200万円の支払いを求める偽メールを受け取った。担当者が怪しいと気づき被害に至らなかったが発信元のメールアドレスは実在の取引先と一致した。日本経済新聞
上記で事例としてあげられているスカイマークへの詐欺案件は幸運にも未然に防止されたため、航空会社を狙ったビジネスメール詐欺行為が起きているという事象が警察への被害届けのようなわかりやすい形で世間に周知されなかったのはJALにとっては不幸だったのかもしれませんね。

スカイマークにも偽メール2回200万円超を請求日航3億円被害(産経ニュース 17/12/21)

今年10月にも別の海外取引先から、振込先変更と200万円余りを請求するメールを受信。昨年の偽メールを受け、取引先に確認し被害を免れたという。同社は現時点で捜査当局へ被害届は出していない。産経ニュース
企業におけるビジネスメール詐欺対策についてはそれなりに有効となりそうなのがメールアカウントの厳重管理やなりすましメール対策ツールの導入でしょう。

企業を狙う振り込め詐欺、セキュリティ製品で防げるか(ITpro 17/12/25)

なりすましメール対策として現時点で最も効果があるのは、送信ドメイン認証の一つであるDMARC(Domain-based Message Authentication, Reporting&Conformance)だ。
(中略)
だが、DMARCの普及はなかなか進まない。例えば米国では、米国土安全保障省(DHS)が2017年10月、政府機関に対して3カ月以内にDMARCを実装することを求めた、法的拘束力のある指示を発令した。だが、2017年12月時点での導入率は18%程度だという。
(中略)
DMARCのような送信ドメイン認証は、自社だけ導入してもあまり意味がない。多くの企業・組織が導入しないと、なりすましを確実に見抜けるようにはならない。ITpro
セキュリティには金がかかるし運用もかなり面倒ということで億劫なのはなにも日本だけではないようですが、億単位の詐欺被害を防止できる効力があるのであればこうした施策の導入を検討する価値は十分にありそうです。もっとも、こういう対策を行えば今度はそれを無効にするようなクラッキングが行われて永遠のイタチごっこになるのでしょうが、それでもサイバー犯罪対策は諦めずに前向きに続けていくことが肝要であります。

それにしても、それだけの多額の資金をなぜメール一本の請求で済ませてしまうのか、会社単位の請求方式で一本化できないかという話は以前からありました。個人のクレジットカード詐欺でもそうですが、認証と支払いの関係は技術が早く進展するほどにキャッチアップがむつかしいのが現状です。

それ以上に、前述の通り正規のメールアドレス自体が一時的に成り済まされ、メールアドレスや書かれている内容は全く違和感がないのに詐欺メールだった場合に防ぐことは容易ではなく、そうすると企業も個人も自衛的に「支払予定台帳」みたいなものを構築して、都度突き合わせるというような古典的な手法で回避するしか方法がないのかもしれません。