インターネットバンキング不正送金・ビジネスメール詐欺被害の防止

1. インターネットバンキング不正送金の被害防止

警察庁発表のインターネットバンキングの不正送金による被害統計では、平成28年中の法人被害額は約4億3,500万円となり、平成27年の被害額約14億6,600万円と比べると約70%減少しました。しかし、平成29年上半期はインターネットバンキングの電子決済サービスを使用して仮想通貨取引所に対して送金を行う、あるいは電子マネーを購入するなどの新たな手口の発生などにより、被害額は約3億800万円と平成28年年間の被害額と比べて約71%と再度増加しています。

不正送金の被害に遭っても、預金者保護法により守られている個人の場合は、重大な過失がない場合は原則として銀行による補償が受けられます。法人については同法の対象外ですが、近年では多くの銀行等で法人についての補償方針が公表されています。ただその内容は銀行が導入しているセキュリティ対策を実施しているという条件付き、また補償の上限額が設定されている場合もあり個人に比べると厳しい制限があるのが一般的です。

銀行等では従来から電子証明書の利用を含むセキュリティ対策を呼びかけています。しかし警察庁発表によると平成29年上半期に被害に遭った法人口座の内、電子証明書等のセキュリティ対策を実施していなかった口座は67%に上ります。不正送金の被害が多額になると企業の存続に影響を及ぼす可能性もあり、特に対策が遅れている言われる中小企業は、被害に遭わないよう、また万一被害に遭った場合には銀行等からの補償を受けられるように、推奨されているセキュリティ対策の実施は急務です。

メガバンクによるインターネットバンキングにおける注意喚起

三菱東京UFJ銀行
「大切なお知らせ 法人向けインターネットバンキングでの不正送金にご注意ください。」
https://bizstation.bk.mufg.jp/info/140219.html
 
みずほ銀行
「【重要】法人インターネットバンキングご利用にあたってのご注意事項とお願いについて」
https://www.mizuhobank.co.jp/corporate/ebservice/account/security/info121107.html

三井住友銀行
「【重要】法人向けインターネットバンキングをご利用のお客さまへ(不正アクセスにご注意ください)」
http://www.smbc.co.jp/hojin/security/eb.html

2.標的型攻撃メールを糸口としたビジネスメール詐欺被害の防止

標的型攻撃メールとは、主に特定の組織・人を対象として機密情報を窃取することなどを目的として送られる悪意のあるメールです。メール受信者が不審を抱かないように「あの手この手で」「手を替え品を替え」巧妙に騙しのテクニックを駆使し、そのテクニックは日々進化しています。

従来の手口はメールの添付ファイルを開かせたり、メール文中のリンクにアクセスさせたりし、ウイルス等に感染させることにより、不正送金等を行う手口が主流でしたが、最近増加しているのが、詐欺に分類される手口-ビジネスメール詐欺です。海外を中心に被害が発生していましたが、日本国内でも被害報告が増えています。

FBI(米国連邦捜査局)による平成28年6月までの被害統計

  被害件数 22,143 件
  被害総額 約31億米ドル
  1件あたりの平均被害額 約14万米ドル(日本円で約1,600万円程度)

全銀協による外国送金の資金をだまし取るパターン例
 ・外国法人になりすまして送信された電子メールの送金指示や電子メール添付請求書に従って外国送金を行った結果、
  送金した資金が詐取された。
 ・外国に所在する自社関係会社のCEO等、上層幹部の名前をかたって本邦法人の会計担当者等に送信された電子メール
  による送金指示に従って外国送金を行った結果、送金した資金が詐取された。
 ・本邦法人から外国法人に送信した電子メールまたは添付請求書が改ざんされ、本邦法人の指示口座とは異なる口座に
  送金された結果、受領すべき資金が詐取された。

このような被害に遭う場合は、第一段階として標的型攻撃メールなどにより組織内のパソコンで何らかのウイルス感染がありそれが組織内に広がり、犯罪者はそのウイルス感染を利用して被害組織における日頃のメールのやり取りを把握・分析するなどの準備を行っている場合が多いと言われています。
 
標的型攻撃メールは防衛産業や年金機構への攻撃でかつて大きなニュースとなりましたが、同じ文面が10ヶ所以上に送付されている「ばらまき型」が平成28年から増えていると警察庁から発表されており、一般の企業・組織も対象となっています。特徴としては公表されていないメールアドレスに対して、送信元を詐称して、従来は少なかったPDFファイルを利用するなどの傾向があります。

標的型攻撃メールへの着眼点-メールの件名の例(IPA)
 ・知らない人からのメールだが、メール本文のURLや添付ファイルを開かざるを得ない内容
   新聞社や出版社からの取材申込や講演依頼
   就職活動に関する問い合わせや履歴書送付
   製品やサービスに関する問い合わせ、クレーム
   アンケート調査
 ・心当たりのないメールだが、興味をそそられる内容
   議事録、演説原稿などの内部文書送付
   VIP訪問に関する情報
 ・これまで届いたことがない公的機関からのお知らせ
   情報セキュリティに関する注意喚起
   インフルエンザ等の感染症流行情報
   災害情報

ビジネスメール詐欺による被害は、銀行等からのインターネットバンキング不正送金についての補償の対象とならず、サイバー保険でも補償されないケースもあります。また犯罪者の心理を考えると、同じ手間なら詐取金額が大きくなる中規模以上の企業がターゲットとなる可能性が高いと思われます。

ビジネスメール詐欺の手口例(IPA)
 ・請求者側と支払者側の両方になりすまし、取引に関わる2つの企業を同時に騙す。
 ・メールの同報先(Cc等)も偽物に差し替え、他の関係者にはメールが届かないよう細工する。
 ・メールの引用部分にある、過去のメールのやりとりの部分について、都合の悪い部分を改変する。
 ・「口座名義に問題があり送金できない」旨を伝えると、1時間後に別の口座を連絡してきた。
 ・送金がエラーになった際に、30分で訂正のメールが送られてきた。

CEO(最高経営責任者)や社長から「緊急」「極秘」としてメールで指示される、また振込先口座の変更では送金直前、振込先に確認を取ることが困難なタイミングを見計らってメールが送られてくるケースなど、周到な準備と手際の良さも特徴です。

対策として、送金前にメール以外の方法で確認を取る、電子署名付きのメールを利用するなどが推奨されていますが、技術的な対策のみでは被害の防止が難しく、支払手配の担当部門及び経理・財務部門などの担当者はその手口をよく理解し、組織全体で標的型メール・情報セキュリティに対する体勢を強化すると共に、常に最新の情報を収集・対策の検討・組織内への徹底を図るなど総合的な対策が必要です。

経理部門の体勢作り支援等もコンパッソグループにご相談下さい。
 
<参照先>

警察庁
『平成28年中におけるサイバー空間をめぐる脅威の情勢等について』
https://www.npa.go.jp/news/release/2017/20170323cyber_jousei.html
『平成29年上半期におけるサイバー空間をめぐる脅威の情勢について』
http://www.npa.go.jp/publications/statistics/cybersecurity/data/H29_kami_cyber_jousei.pdf

Federal Bureau of Investigation(FBI) Internet Crime Complaint Center(IC3)
(米国インターネット犯罪苦情センター)
『Business E-mail Compromise: The 3.1 Billion Dollar Scam (IC3) 』
https://www.ic3.gov/media/2016/160614.aspx

一般社団法人全国銀行協会(全銀協)
『法人間の外国送金の資金をだまし取る詐欺にご注意!』
https://www.zenginkyo.or.jp/topic/detail/nid/3561/

独立行政法人情報処理推進機構(IPA)
『【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口』
https://www.ipa.go.jp/security/announce/20170403-bec.html
『IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」』
https://www.ipa.go.jp/security/technicalwatch/20150109.html
 
 

川崎事務所 森芳雄


関連記事

■ICOって何?